Политика обработки персональных данных: что это такое и как не нарушить закон
Все статьи / Политика обработки персональных данных
Автор: Мария Смагина,
эксперт по обработке персональных данных, цюрист в ITF
Дата: 10.07.26
Политика в отношении обработки персональных данных — это локальный нормативный акт оператора (организации или ИП), который в соответствии со ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных» описывает цели, состав, условия и сроки обработки ПДн, а также меры по их защите.
Политика обязательна для публикации на сайте компании и является итоговым документом, который фиксирует реальные бизнес-процессы работы с данными клиентов, сотрудников и партнеров.
Главные ошибки бизнеса — использование скачанных шаблонов без привязки к реальным процессам и отсутствие предварительной ревизии цифрового хозяйства (CRM, почтовых сервисов, аналитики, подрядчиков).
Для соответствия 152-ФЗ и защиты от штрафов по ст. 13.11 КоАП РФ компания должна начать не с написания Политики, а с аудита потоков данных, оформления договоров поручения с третьими лицами (ст. 6 ФЗ-152) и локализации баз данных на территории РФ (ст. 18 ФЗ-152).
Содержание
Что такое персональные данные и как их регулирует закон
Прежде чем говорить о порядке, нужно понять, с чем мы работаем. Согласно ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», ПДн — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.
Закон делит ПДн на несколько категорий:
- Общие(ФИО, телефон, email, адрес).
- Специальные (расовая принадлежность, здоровье, биометрия, судимость).
- Иные (профессия, хобби, пользовательские метрики).
- Общедоступные (те, которые субъект сам разрешил публиковать).
Иллюзия Политики по шаблону
Политика в отношении обработки персональных данных — это локальный нормативный документ, который описывает, как именно компания работает с ПДн: какие собирает, зачем, как хранит и кому передает.
Если опираться на букву закона, то согласно ч. 1 и ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», это документ, определяющий политику оператора в отношении обработки персональных данных, который в обязательном порядке должен содержать сведения о целях и объеме обработки, категориях обрабатываемых ПДн и субъектах, а также о реализуемых требованиях к защите данных.
Главная ошибка, которую совершают 90% компаний, — попытка решить вопрос «одной бумажкой». Руководители или юристы скачивают из интернета шаблон Политики, меняют в нем реквизиты на свои, публикуют на сайте и считают, что проблема решена.
Такой подход не работает. Политика не может быть оторвана от реальности. Она должна быть точным отражением реальных бизнес-процессов компании. Этот документ является следствием! организационных и технических мер обработки данных в компании.
С чего нужно начинать на самом деле
Вам нужно начинать с ревизии цифрового хозяйства.
Только проведя аудит, вы сможете:
- Описать все реальные процессы и составить детальную схему потоков данных.
- Понять, какие данные, кому и на каком этапе передаются.
- Убедиться, что в инфраструктуре нет нелегальной трансграничной передачи данных.
- Гарантировать, что базы данных находятся на серверах в России (требование о локализации по ст. 18 ФЗ-152).
- Выявить всех сторонних подрядчиков, которые фактически работают с вашими данными.
Обязанности Оператора и тонкости договора поручения
И именно Оператор несет полную ответственность перед законом и субъектами ПДн.
Многие бизнесы ошибочно полагают: «Мы просто пользуемся CRM, а данные хранятся у разработчика, пусть они и отвечают». Это заблуждение.
Давайте посмотрим на рутину:
- Вы работаете в облачной CRM (amoCRM, Битрикс24).
- Отправляете письма клиентам через почтовые сервера (Яндекс, Mail.ru, SendPulse).
- Собираете статистику посещаемости сайта через Яндекс.Метрику.
- Отдали доступы к админке сайта сторонней IT-компании или фрилансеру для внесения изменений.
Вы обязаны заключить с каждой такой компанией Договор поручения на обработку ПДн (ст. 6 ФЗ-152), где будут жестко прописаны обязательства подрядчика по защите информации. Роскомнадзор рекомендует отразить эти компании в вашей Политике.
Передали данные без договора поручения? Компания, которой вы поручили обработку, не отражена в локальном реестре Поручений на обработку ПДн? Это нарушение закона. Несмотря на то, что физически данные обрабатывает другой сервис, собираете их вы, а значит, отвечаете перед законом именно вы.
Политика как итог, а не старт
Для соответствия компании законодательству необходим комплект, состоящий из нескольких десятков документов. И Политика обработки персональных данных должна отражать результат их разработки.
В противном случае даже идеальная Политика, выверенная топовыми юристами, не спасет вас от штрафов. Почему? Потому что она не будет отражать действительность. Регулятору (Роскомнадзору) не обязательно приезжать к вам с проверкой. Они могут автоматически проверить ваш сайт, посмотреть, какие cookies и метрики вы используете, какие формы сбора данных настроены, и сравнить это с вашей опубликованной Политикой. Несоответствие будет выявлено моментально, что повлечет за собой административную ответственность по ст. 13.11 КоАП РФ.
Порядок нужен не только регулятору
Но для вашей компании этот порядок важен не меньше, а даже больше. Только полная прозрачность процессов дает управляемость. Вы не можете защитить то, о чем не знаете. Утечка данных, сбой в работе CRM из-за отсутствия регламентов, потеря клиентской базы — это прямые финансовые убытки. Наведение порядка в ПДн является, по сути, наведением порядка в бизнес-процессах, что напрямую влияет на рентабельность и устойчивость компании.
Часто задаваемые вопросы
Обязательно ли публиковать Политику на сайте?
Что будет, если на сайте нет Политики?
- Для граждан: от 10 000 до 15 000 рублей.
- Для должностных лиц: от 50 000 до 100 000 рублей.
- Для юридических лиц: от 150 000 до 300 000 рублей.
Можно ли просто скачать шаблон Политики из интернета?
Нужна ли Политика для ИП?
Чем Политика отличается от «Согласия на обработку ПДн»?
Нужно ли заключать договоры поручения с Яндекс.Метрикой, почтовыми сервисами и CRM?
Как часто нужно обновлять Политику?
Что делать, если данные хранятся на зарубежном сервере?
- За первое нарушение: до 6 млн рублей.
- За повторное нарушение: до 18 млн рублей.
Резюме
ITF. Системный подход к цифровым активам вашего бизнеса