Положение об обработке и защите персональных данных: образец 2026
Как выглядит «Положение об обработке и защите персональных данных» и что важно в каждом пункте. Соберите свой вариант онлайн или скачайте бланк.
Положение об обработке и защите персональных данных — локальный нормативный акт оператора, устанавливающий правила обработки и защиты персональных данных соответствующей категории субъектов.
Структура документа
Так выглядит документ: на месте ваших данных — прочерки «______». Заполните онлайн — подставятся ваши реквизиты.
Положение об обработке и защите персональных данных
1. Наименование и реквизиты
УТВЕРЖДЕНО
Приказом ______
от ______ № [№]
ПОЛОЖЕНИЕ
об обработке и защите персональных данных
в ______
Приказом ______
от ______ № [№]
ПОЛОЖЕНИЕ
об обработке и защите персональных данных
в ______
2. Общие положения
1.1. Настоящее Положение определяет порядок обработки персональных данных и меры по обеспечению их безопасности в ______ (далее — Оператор, ИНН ______, ОГРН ______).
1.2. Положение разработано в соответствии с:
— Конституцией Российской Федерации;
— Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
— Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Трудовым кодексом Российской Федерации (гл. 14);
— Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Приказом Роскомнадзора от 27.10.2022 № 178 «Об утверждении требований к оценке вреда, который может быть причинён субъектам персональных данных».
1.3. Положение обязательно к применению всеми работниками Оператора, осуществляющими обработку персональных данных.
1.2. Положение разработано в соответствии с:
— Конституцией Российской Федерации;
— Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
— Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
— Трудовым кодексом Российской Федерации (гл. 14);
— Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Постановлением Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
— Приказом Роскомнадзора от 27.10.2022 № 178 «Об утверждении требований к оценке вреда, который может быть причинён субъектам персональных данных».
1.3. Положение обязательно к применению всеми работниками Оператора, осуществляющими обработку персональных данных.
3. Основные понятия
2.1. Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).
2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными.
2.3. Оператор — ______.
2.4. ИСПДн — информационная система персональных данных Оператора.
2.5. Ответственный — работник Оператора, назначенный приказом ответственным за организацию обработки ПД (ст. 22.1 ФЗ-152).
2.2. Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными.
2.3. Оператор — ______.
2.4. ИСПДн — информационная система персональных данных Оператора.
2.5. Ответственный — работник Оператора, назначенный приказом ответственным за организацию обработки ПД (ст. 22.1 ФЗ-152).
4. Правовые основания обработки
3.1. Оператор обрабатывает персональные данные на следующих правовых основаниях (ст. 6 ФЗ-152):
— согласие субъекта персональных данных;
— исполнение договора, стороной которого является субъект;
— исполнение возложенных на Оператора обязанностей (Налоговый кодекс РФ, Трудовой кодекс РФ, Федеральный закон № 402-ФЗ «О бухгалтерском учёте»).
— согласие субъекта персональных данных;
— исполнение договора, стороной которого является субъект;
— исполнение возложенных на Оператора обязанностей (Налоговый кодекс РФ, Трудовой кодекс РФ, Федеральный закон № 402-ФЗ «О бухгалтерском учёте»).
5. Категории обрабатываемых персональных данных
4.1. Оператор обрабатывает следующие категории ПД:
— ФИО, дата и место рождения;
— адрес электронной почты;
— номер контактного телефона;
— IP-адрес;
— данные cookie-файлов;
4.2. Специальные категории ПД (раса, национальность, политические, религиозные убеждения, состояние здоровья, интимная жизнь) и биометрические ПД — Оператором не обрабатываются, за исключением случаев, прямо предусмотренных законодательством.
— ФИО, дата и место рождения;
— адрес электронной почты;
— номер контактного телефона;
— IP-адрес;
— данные cookie-файлов;
4.2. Специальные категории ПД (раса, национальность, политические, религиозные убеждения, состояние здоровья, интимная жизнь) и биометрические ПД — Оператором не обрабатываются, за исключением случаев, прямо предусмотренных законодательством.
6. Категории субъектов персональных данных
5.1. Субъектами ПД, данные которых обрабатывает Оператор, являются:
— клиенты (покупатели, заказчики);
— посетители сайта Оператора (______);
— клиенты (покупатели, заказчики);
— посетители сайта Оператора (______);
7. Порядок сбора и обработки
6.1. Сбор ПД осуществляется непосредственно у субъекта (либо из его законного представителя). Получение ПД от третьих лиц допускается только с письменного согласия субъекта, за исключением случаев, предусмотренных ФЗ-152.
6.2. Обработка ПД ведётся автоматизированным способом (в ИСПДн Оператора).
6.3. При обработке ПД обеспечивается их точность, достаточность и актуальность для заявленных целей обработки.
6.2. Обработка ПД ведётся автоматизированным способом (в ИСПДн Оператора).
6.3. При обработке ПД обеспечивается их точность, достаточность и актуальность для заявленных целей обработки.
8. Хранение и сроки обработки
7.1. ПД хранятся в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки.
7.2. Сроки хранения:
7.2. Сроки хранения:
9. Уничтожение персональных данных
8.1. ПД подлежат уничтожению в срок не более 30 дней с момента: достижения целей обработки; отзыва согласия субъектом; истечения срока хранения; выявления неправомерной обработки.
8.2. Уничтожение оформляется Актом об уничтожении ПД, подписываемым не менее чем двумя членами комиссии.
8.2. Уничтожение оформляется Актом об уничтожении ПД, подписываемым не менее чем двумя членами комиссии.
10. Права субъектов персональных данных
9.1. Субъект имеет право (гл. 3 ФЗ-152):
— получать информацию об обработке своих ПД;
— требовать уточнения, блокирования или уничтожения ПД;
— отозвать согласие на обработку;
— обжаловать действия Оператора в Роскомнадзор и (или) в суд.
9.2. Запросы субъектов обрабатываются Ответственным (______) в срок не более 10 рабочих дней.
— получать информацию об обработке своих ПД;
— требовать уточнения, блокирования или уничтожения ПД;
— отозвать согласие на обработку;
— обжаловать действия Оператора в Роскомнадзор и (или) в суд.
9.2. Запросы субъектов обрабатываются Ответственным (______) в срок не более 10 рабочих дней.
11. Обязанности Оператора
10.1. Оператор обязан (ст. 18.1 ФЗ-152):
— назначить ответственного за организацию обработки ПД;
— принимать правовые, организационные и технические меры защиты ПД;
— издавать локальные акты по вопросам обработки ПД;
— проводить внутренний контроль соответствия обработки ПД требованиям ФЗ-152;
— оценивать вред, который может быть причинён субъектам ПД (Приказ Роскомнадзора № 178);
— уведомлять Роскомнадзор об обработке ПД (ст. 22 ФЗ-152) и об инцидентах в течение 24 часов (ст. 21 ФЗ-152).
— назначить ответственного за организацию обработки ПД;
— принимать правовые, организационные и технические меры защиты ПД;
— издавать локальные акты по вопросам обработки ПД;
— проводить внутренний контроль соответствия обработки ПД требованиям ФЗ-152;
— оценивать вред, который может быть причинён субъектам ПД (Приказ Роскомнадзора № 178);
— уведомлять Роскомнадзор об обработке ПД (ст. 22 ФЗ-152) и об инцидентах в течение 24 часов (ст. 21 ФЗ-152).
12. Меры защиты
11.1. Организационные меры:
— утверждение Политики обработки ПД и Положения об обработке ПД;
— назначение ответственного за обработку ПД (______);
— ознакомление работников с ФЗ-152 и локальными актами под роспись;
— разграничение доступа к ПД по принципу служебной необходимости;
11.2. Технические меры (в соответствии с Приказом ФСТЭК № 21):
— идентификация и аутентификация пользователей ИСПДн;
— разграничение и контроль доступа к ПД;
— шифрование каналов передачи данных (SSL/TLS);
— утверждение Политики обработки ПД и Положения об обработке ПД;
— назначение ответственного за обработку ПД (______);
— ознакомление работников с ФЗ-152 и локальными актами под роспись;
— разграничение доступа к ПД по принципу служебной необходимости;
11.2. Технические меры (в соответствии с Приказом ФСТЭК № 21):
— идентификация и аутентификация пользователей ИСПДн;
— разграничение и контроль доступа к ПД;
— шифрование каналов передачи данных (SSL/TLS);
13. Ответственность
12.1. Работники Оператора, виновные в нарушении настоящего Положения, несут ответственность в соответствии с Трудовым кодексом РФ (дисциплинарная), Гражданским кодексом РФ (материальная) и КоАП РФ (ст. 13.11 — от 60 000 до 18 000 000 ₽ для юридических лиц) и Уголовным кодексом РФ (ст. 137).
12.2. Оператор несёт ответственность перед субъектами ПД в соответствии с гражданским законодательством РФ.
12.2. Оператор несёт ответственность перед субъектами ПД в соответствии с гражданским законодательством РФ.
14. Заключительные положения
13.1. Настоящее Положение вводится в действие с момента его утверждения приказом руководителя Оператора.
13.2. Изменения и дополнения в Положение вносятся приказом руководителя Оператора.
13.3. Контроль за соблюдением настоящего Положения возлагается на Ответственного за организацию обработки ПД.
Генеральный директор _________________ / ________________ /
13.2. Изменения и дополнения в Положение вносятся приказом руководителя Оператора.
13.3. Контроль за соблюдением настоящего Положения возлагается на Ответственного за организацию обработки ПД.
Генеральный директор _________________ / ________________ /
Пояснения к пунктам
Общие положения
Положение должно совпадать с реальными процессами: каждая мера, которую вы описали, но не выполняете, на проверке РКН фиксируется как отдельное нарушение. Пересматривайте документ при каждом изменении процессов обработки.