Политика обработки персональных данных: структура и шаблон

Политика обработки персональных данных: структура и шаблон по 152‑ФЗ

Зачем нужна политика по 152‑ФЗ

«152 ФЗ политика обработки персональных данных» — это публичный документ оператора, который раскрывает, какие ПДн собираются, с какой целью, на каком правовом основании, как и сколько они хранятся, кому передаются и какие меры безопасности применяются. Политика конфиденциальности ФЗ 152 демонстрирует прозрачность обработки и является обязательной частью комплаенса по закону о персональных данных.

Если вы ведете сайт, собираете заявки, используете веб‑аналитику, оформляете сотрудников или обслуживаете клиентов — вам нужна понятная и актуальная политика. Подробнее о законе — в материалах: О законе 152‑ФЗ, Текст 152‑ФЗ (последняя редакция), Структура и статьи 152‑ФЗ.

Когда документ обязателен и где его размещать

Обязателен для всех операторов ПДн (юрлица и ИП), обрабатывающих данные физических лиц — клиентов, пользователей сайта, сотрудников, кандидатов.
Для сайта политика по закону 152‑ФЗ должна быть общедоступной: ссылка в футере, в меню, рядом с формами и в баннере cookie. См. Требования к сайту.
Политика действует вместе с внутренним «Положением о персональных данных 152‑ФЗ» (для сотрудников) и иными локальными актами. Для кадров — разделы можно расширять под ТК РФ и отраслевые нормы.

Ключевые требования закона и что проверяет РКН

Публикация политики: ст. 18.1 152‑ФЗ обязывает оператора разместить документ в свободном доступе, изложить цели, основания, процедуры и меры безопасности (ст. 18.1).
Принципы и цели обработки: указывать только конкретные и законные цели, не обрабатывать «на всякий случай» (принципы и цели).
Правовые основания: согласие, договор, закон и т. п. (ст. 6). Для отдельных случаев — обработка без согласия (обзор).
Права субъектов: прозрачная процедура обращений, доступ к данным, исправление, блокировка, уничтожение (права субъектов).
Безопасность и ИСПДн: организационные и технические меры, уровни защищенности, модели угроз, криптозащита (меры безопасности, уровни защищенности, модель угроз, криптография, ИСПДн).
Локализация и трансграничная передача: хранение первичных баз в РФ, оценка юрисдикций при трансграничной передаче (трансграничная передача, серверы/ЦОД, облака).
Уведомление и реестр: при обработке ряда категорий — уведомление в РКН и поддержание данных в реестре (уведомление РКН, реестр операторов).

Следите за обновлениями права: изменения 2025.

Получить CloudPayments бесплатно

Структура документа: обязательные разделы

Термины и оператор: реквизиты, контакт ответственного, область действия политики.
Категории ПДн и субъектов: клиенты, пользователи сайта, кандидаты, сотрудники; специальные/биометрические данные при наличии.
Цели и правовые основания: договор, закон, согласие; отдельные цели для маркетинга, аналитики, подбора персонала.
Способы и действия обработки: сбор, запись, систематизация, хранение, обезличивание, блокирование, уничтожение.
Передача третьим лицам и поручения: перечень получателей, условия, трансграничные передачи.
Права субъектов и порядок обращений: адрес, форма, сроки ответов, порядок отзыва согласия.
Сроки хранения, уничтожение/блокировка: критерии, события, архив.
Меры безопасности и ИСПДн: организационные и технические, уровни, криптосредства.
Cookie, веб‑аналитика, формы и мессенджеры: перечень инструментов и ссылки на настройки.
Порядок изменения политики и дата вступления в силу.

Шаблон разделов: что писать — краткая таблица

Раздел политики	Что обязательно указать	Норма/подсказка
Оператор и термины	Полные реквизиты, адрес, контакты, ответственный за ПДн	ст. 18.1, ответственный
Субъекты и категории ПДн	Клиенты, пользователи, кандидаты, сотрудники; спец./биометрия при наличии	ст. 3, спецкатегории, биометрия, дети
Цели и основания	Для каждой цели — правовое основание (договор, закон, согласие)	принципы/цели, ст. 6, без согласия
Действия обработки	Перечень операций и способы (автоматизация, смешанные)	ст. 3
Передачи/поручения	Кому и на каких условиях передаются ПДн, трансграничность	поручение, передача третьим лицам, трансграничная
Права субъектов	Как направить запрос, сроки ответа, форма, порядок отзыва согласия	права, отзыв согласия
Сроки и уничтожение	Конкретные сроки/критерии, блокировка, обезличивание	сроки хранения, уничтожение/блокировка
Безопасность ИСПДн	Организационные/технические меры, уровень защищенности, СЗИ	меры безопасности, уровни, ФСТЭК/ФСБ
Cookie и аналитика	Список инструментов (cookie, пиксели, Метрика), ссылки на отказ	cookie, Метрика, формы
Обновление политики	Как уведомляете об изменениях, дата и версия	ст. 18.1

Примеры формулировок для политики конфиденциальности

Цели: «Обработка персональных данных пользователей сайта осуществляется для регистрации и обработки заявок, обратной связи, выполнения договоров, улучшения работы сайта и проведения аналитики с использованием cookie и иных идентификаторов.»
Основания: «Правовыми основаниями являются: заключение и исполнение договора, исполнение обязанностей, предусмотренных законодательством РФ, а также согласие субъекта персональных данных в случаях, предусмотренных законом.»
Передача: «Передача ПДн третьим лицам осуществляется на основании договора поручения обработки и/или согласия субъекта, включая операторов хостинга, систем рассылок, платежных сервисов. Трансграничная передача — при обеспечении надлежащей защиты прав субъектов.» См. передача и трансграничная передача.
Права: «Субъект вправе запросить доступ к ПДн, требовать их уточнения, блокирования или уничтожения, отозвать согласие, направив обращение на e‑mail и/или почтовый адрес оператора.» Подробнее — права субъектов.

Публикация на сайте: UX и технические нюансы

Чтобы «закон 152 ФЗ сайт политика» соответствовала проверкам Роскомнадзора:

Доступность: ссылка «Политика обработки ПДн» в футере и возле каждой формы. На страницах с формами добавьте чекбокс согласия. См. формы на сайте.
Cookie‑баннер: до установки аналитических cookie/пикселей покажите баннер с кратким описанием и ссылкой на политику cookie. Руководство — cookie и баннеры.
HTTPS: включите SSL/TLS и настроенную политику безопасности контента. См. SSL/HTTPS.
Инструменты: укажите используемые сервисы — Яндекс.Метрика, формы (Яндекс Формы), мессенджеры (мессенджеры и 152‑ФЗ).
CMS‑практики: быстрая публикация на Tilda, WordPress, 1C‑Bitrix. Проверьте себя — аудит сайта и онлайн‑проверка.

Связанные документы: согласия, поручения, уведомление РКН

Политика — вершина «пакета документов 152‑ФЗ», но сама по себе не заменяет иных актов:

Согласия: общие и отдельные — на обработку, на рассылку, на распространение ПДн (согласия, распространение, отзыв).
Поручения контрагентам: если передаете ПДн провайдерам — заключайте договоры поручения (поручение).
Внутренние регламенты: положения о ПДн сотрудников, журналы обращений, инструкции по безопасности, обучение (внутренний контроль).
Уведомление РКН и поддержание записи в реестре — при необходимости (уведомление, реестр).

Соберите всё в единый пакет документов и разместите на сайте необходимые публичные версии (документы для сайта).

Обновление, контроль и ответственность

Ревизия: пересматривайте политику при смене целей/инструментов обработки, при запуске новых сервисов, а также ежегодно.
Контроль: назначьте ответственного, проводите обучение сотрудников и внутренние проверки (ответственный, внутренний контроль).
Инциденты: опишите порядок реагирования и уведомления субъектов/РКН при утечках (инциденты и утечки).
Ответственность и штрафы: КоАП 13.11 предусматривает санкции за отсутствие политики, неправомерную обработку, отсутствие мер безопасности и др. Подробнее — ответственность и штрафы, КоАП 13.11, проверки РКН. Ознакомьтесь с судебной практикой.

Частые ошибки и как их избежать

«Шаблон ни о чём»: копипаст без привязки к вашим целям и сервисам. Решение — адаптируйте под реальные процессы.
Нет правовых оснований: перечислены цели, но не указаны конкретные основания (договор/закон/согласие) для каждой цели.
Скрытая аналитика: метрики запускаются до согласия пользователя. Используйте баннер, режим согласия и сервер‑сайд теги по правилам.
Размытые сроки хранения: указывайте критерии и события (окончание договора, срок исковой давности и т. п.). См. сроки хранения.
Отсутствие порядка обращения: нет адреса и сроков ответа. Добавьте понятную процедуру и шаблоны ответов.
Несогласованные передачи: нет договоров поручения с провайдерами, трансграничные передачи не оценены. См. передача и трансграничная.

Быстрый старт: готовые шаблоны и генератор

Сделайте документ быстро и корректно:

Скачайте проверенные шаблоны и формы и используйте генератор политики и согласий.
Для комплексного внедрения выберите консалтинг и документы под ключ или аудит соответствия.
Сверьтесь с чек‑листом и подготовьтесь к проверке — памятка.
Если вы работаете с ЕС‑пользователями, сравните требования: GDPR и 152‑ФЗ.

Итог Политика обработки — центральный публичный документ оператора. Она должна быть конкретной, актуальной и технически реализованной на сайте. Используйте предложенную структуру и шаблон, сверяйтесь с нормами 152‑ФЗ, поддерживайте меры безопасности и обновляйте документ при изменениях.

Готовы оформить «152 ФЗ политика обработки» без ошибок? Воспользуйтесь нашим генератором политики и согласий или обратитесь за сопровождением — подготовим комплект документов и приведем сайт к требованиям 152‑ФЗ.

Получить CloudPayments бесплатно