- Главная
- Все шаблоны
- Положение о защите персональных данных
Утверждено
Приказом № укажите номер приказаpolojenie_pd1_1 от укажите датуpolojenie_pd1
Генерального директора укажите наименование организацииname2
Укажите ФИО генерального директораdous21
Подпись _____________________
Утверждено
Приказом № укажите номер приказаpolojenie_pd1_2 от укажите датуpolojenie_pd2
Директора укажите наименование организацииname2
Укажите ФИО директораdous21
Подпись _____________________
Утверждено
Приказом № укажите номер приказаpolojenie_pd_3 от укажите датуpolojenie_pd2
Индивидуального предпринимателя Укажите ФИО ИПname3
Подпись _____________________
1.1. Основная цель Положения — обеспечение защиты ПДн сотрудников организации от несанкционированного доступа и разглашения, а также предотвращение, выявление и устранение нарушений законодательства Российской Федерации в области обработки персональных данных.
1.1. ПДн представляют собой конфиденциальную информацию, подлежащую строгой защите в соответствии с законодательными и нормативными требованиями.
1.1. Основная цель Положения — обеспечение защиты ПДн Организации от несанкционированного доступа и разглашения, а также предотвращение, выявление и устранение нарушений законодательства Российской Федерации в области обработки персональных данных.
1.1. ПДн представляют собой конфиденциальную информацию, подлежащую строгой защите в соответствии с законодательными и нормативными требованиями.
1.1.
Введите текст своего условия
1.1. Оператор обрабатывает персональные данные работников в рамках правоотношений, урегулированных Трудовым кодексом Российской Федерации от 30 декабря 2001 г. № 197-ФЗ, в том числе главой 14 ТК РФ, касающейся защиты персональных данных работников, и Федеральным законом, а также в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27 июля 2006 г.
1.1. С целью соблюдения трудового законодательства РФ обрабатываются следующие категории ПДн работников:
1.1. Фамилия, имя, отчество.
1.1. Дата, месяц, год рождения.
1.1. Место рождения.
1.1. Адрес регистрации и проживания.
1.1. Образование.
1.1. Профессия.
1.1. Паспортные данные.
1.1. Контактный телефон.
1.1. Адрес электронной почты.
1.1. Доходы.
1.1. Наличие судимостей.
1.1. Сведения о социальных льготах.
1.1. ИНН.
1.1. СНИЛС.
1.1. Трудовой стаж.
1.1. Семейное положение.
1.1. Отношение к воинской службе.
1.1. Информация о хобби и личных достижениях.
1.1. Фотографии работника.
1.1. Укажите дополнительные обрабатываемые ПДнpolojenie_pd16.
1.1. Иная информация, предоставляемая в соответствии с законодательством Российской Федерации, на основании которой возможна идентификация субъекта ПДн.
1.1. Оператор обрабатывает ПДн в соответствии с Федеральным законом № 152-ФЗ «О персональных данных» от 27 июля 2006 г.
1.1. Оператор осуществляет обработку следующей информации: любые данные, которые прямо или косвенно связаны с субъектом персональных данных, то есть с конкретным или потенциально идентифицируемым физическим лицом, в том числе фамилия, имя, отчество, дата рождения, паспортные данные, адрес регистрации и проживания, паспортные данные, контактный телефон, адрес электронной почты, ИНН, а также иные необходимые для выполнения условий договора данные.
1.1.
Введите текст своего условия
1.1. Под угрозами безопасности ПДн понимается совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.
1.1.
Введите текст своего условия
1.1. Под уровнем защищенности ПДн подразумевается интегральный показатель, который отражает совокупность требований, выполнение которых обеспечивает нейтрализацию специфических угроз безопасности персональных данных при их обработке в информационной системе.
1.1.
Введите текст своего условия
1.1. Обрабатываемые ПДн являются конфиденциальными и подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
1.1. Обрабатываемые ПДн являются конфиденциальными.
1.1. Оператор устанавливает режим конфиденциальности ПДн, который может быть отменен в случае их обезличивания или по истечении укажите срокpolojenie_pd24 с момента их последнего использования, если иное не предусмотрено законодательством.
1.1.
Введите текст своего условия
1. Введение пропускного режима, порядка приема и учета посетителей.
1.1. Внедрение технических средств охраны, программных средств защиты информации на электронных носителях.
1.1. Оптимизация расположения рабочих мест с целью минимизации риска несанкционированного доступа к конфиденциальной информации со стороны посторонних лиц.
1.1. Разработка и реализация мер по предотвращению физического воздействия на технические средства, задействованные в автоматизированной обработке ПДн, которое может привести к нарушению их функциональности.
1. Введение пропускного режима, порядка приема и учета посетителей
1.1.Введите текст своего условия
1. Меры по защите персональных данных на бумажных носителях
1.1. Оператор назначает ответственное лицо за обработку ПДн на бумажных носителях.
1.1. Ограничивает доступ посторонних лиц в помещения, где хранятся документы, которые содержат ПДн субъектов.
1.1. Лицо, назначенное приказом Оператора и допущенно к ПДн, подписывает обязательства о неразглашении персональных данных.
1.1. Передача ПДн по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством РФ, допускается исключительно с согласия субъекта ПДн на обработку его ПДн в части их предоставления или согласия на распространение ПДн.
1. Меры по защите персональных данных на бумажных носителях
1.1.Введите текст своего условия
1.1. Во избежание несанкционированного доступа к персональным данным на бумажных носителях Оператор оборудует помещение, где хранятся ПДн, запирающимися шкафами.
1.1. Перечень лиц, имеющих доступ в такое помещение, утверждается приказом Оператора.
1.1.
Введите текст своего условия
1. Перечень локально-нормативных актов, применяемых для защиты персональных данных
1.1. Локально-нормативный акт, определяющий политику Оператора в отношении обработки персональных данных.
1.1. Список лиц, обрабатывающих персональные данные.
1.1. Приказ о назначении лица, ответственного за организацию обработки персональных данных.
1.1. Положение о правовых, организационных и технических мерах защиты персональных данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
1.1. Локально-нормативный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушений законодательства в сфере защиты персональных данных, устранение последствий таких нарушений (план мероприятий по внутреннему контролю безопасности персональных данных, инструкция о порядке проведения служебного расследования по фактам нарушений законодательства в сфере защиты персональных данных, журнал антивирусных проверок и контроля работы с персональными данными, журнал обучения, инструктажа и аттестации по вопросам защиты персональных данных).
1. Перечень локально-нормативных актов, применяемых для защиты персональных данных
1.1.Введите текст своего условия
1.1. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
1.1. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
1.1. Оператор обязуется возместить моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, несоблюдения требований к защите персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ, независимо от возмещения убытков в добровольном порядке.
1.1.
Введите текст своего условия
1. Гарантии конфиденциальности персональных данных
1.1. Информация, относящаяся к ПДн субъекта персональных данных, охраняется законом.
1.1. Субъект персональных данных вправе требовать полную информацию о своих ПДн, об их обработке, использовании и хранении.
1.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством РФ.
1. Гарантии конфиденциальности персональных данных
1.1.Введите текст своего условия
Положение о защите персональных данных
ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
1. Общие положения
1.1. Положение о защите персональных данных (далее – «Положение») укажите наименование организацииname2 (далее – «Оператор») разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ и иными нормативно-правовыми законодательными актами в области защиты персональных данных (далее – «ПДн») действующими на территории Российской Федерации.
1.1. Положение регламентирует порядок обращения Оператора с ПДн, а также определяет основные меры по обеспечению их защиты.
1.1. Положение является основополагающим нормативным документом, регламентирующим деятельность Организации и Оператора в процессе обработки ПДн.
1.1. Все лица, получившие допуск к работе с ПДн, являются пользователями Положения, следовательно, ознакомлены с ним и несут ответственность за нарушение условий Положения.
1. Понятия и термины, используемые в Положении
1.1. Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
1.1. Оператор персональных данных (Оператор) – укажите наименование организацииname2, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.1. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.1. Информация – сведения (сообщения, данные) независимо от формы их представления.
1.1. Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.
1.1. Конфиденциальность персональных данных – обязанность Оператора и иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
1.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.1. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.1. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.1. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.1. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.1. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.1. Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.1. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1. Информация о мерах по обеспечению безопасности персональных данных
1.1. Оператор назначает лицо, ответственное за организацию обработки ПДн, с целью выполнения обязанностей, установленных Федеральным законом «О персональных данных» и соответствующими подзаконными нормативными актами.
1.1. Оператор осуществляет комплекс правовых, организационных и технических мероприятий для обеспечения безопасности ПДн, направленных на соблюдение конфиденциальности этих данных и их защиту от неправомерных действий.
1.1. Оператор осуществляет информирование сотрудников о нормах законодательства в области ПДн, а также о Положении и иных внутренних нормативных актах Оператора.
1.1. Оператор регламентирует порядок доступа к ПДн, обрабатываемым в информационной системе, а также обеспечивает документирование и учет всех операций с ними.
1.1. Оператор обеспечивает проведение внутреннего контроля за соблюдением законодательства РФ в области ПДн, а также требования к защите персональных данных, положения и иные локальные нормативные акты организации.
1. Порядок обработки персональных данных
1.1. В целях обеспечения сохранности и конфиденциальности ПДн все операции по оформлению, формированию, ведению и хранению ПДн осуществляет ответственное лицо, назначенное .
1. Меры, направленные на защиту персональных данных
1.1. Назначение лица, ответственного за обработку ПДн, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением Организации требований к защите ПДн.
1.1. Разработка политики в отношении обработки ПДн.
1.1. Установление правил доступа к ПДн, обеспечение регистрации и учета всех действий, совершаемых с ПДн.
1.1. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями.
1.1. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
1.1. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
1.1. Соблюдение условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним.
1.1. Обнаружение фактов несанкционированного доступа к ПДн.
1.1. Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
1.1. Изучение работниками, непосредственно осуществляющими обработку ПДн, положений законодательства РФ о персональных данных, в том числе требований к защите персональных данных, документов, определяющих политику Организации в отношении обработки ПДн, локально-нормативных актов по вопросам обработки ПДн.
1. Осуществление внутреннего контроля и аудита.
1.1. Определение типа угроз безопасности и уровней защищенности ПДн, которые хранятся в информационных системах.
1. Права субъектов персональных данных
На основании Федерального закона № 152-ФЗ "О персональных данных", субъект персональных данных обладает следующими правами:
1.1. На получение доступа к персональным данным, относящимся к данному субъекту, и информации, касающейся их обработки.
1.1. На уточнение сведений о блокирование или уничтожение его ПДн в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки.
1.1. На отзыв данного им согласия на обработку ПДн.
1.1. На обжалование действий или бездействий Оператора в уполномоченный орган или в судебном порядке.
1.1. Субъекты ПДн обладают правом реализовывать свои законные интересы и права посредством обращения к Оператору в устной или письменной форме, включая возможность направления запросов через представителя, в том числе посредством электронной почты и иных предусмотренных Оператором способов обращения.
1. Заключительные положения
1.1. Положение вступает в законную силу и является обязательным для исполнения для всех ответственных лиц при обработке ПДн субъекта ПДн с укажите датуpolojenie_pd32 укажите приказ и номерpolojenie_pd33.
1.1. Положение подлежит изменению, дополнению и введению в действие в соответствии с действующим законодательством Российской Федерации в области ПДн на основании приказа .
тариф здесь
1. Что такое Положение о защите персональных данных и зачем оно нужно
Положение о защите персональных данных — это локальный акт оператора, в котором закрепляются внутренние правила обработки и защиты персональных данных. По смыслу ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» оператор обязан принимать локальные акты по вопросам обработки персональных данных, организовывать внутренний контроль и применять правовые, организационные и технические меры защиты. Для работодателя к этому добавляются специальные требования ст. 86–90 Трудового кодекса РФ.
Если говорить без сложных юридических формул, Положение — это рабочая инструкция, которая отвечает на практические вопросы: какие данные можно собирать, для каких целей, кто вправе их видеть, как долго они хранятся, кому могут передаваться и когда подлежат уничтожению. Именно поэтому хороший образец или шаблон полезен только как стартовая основа. Если просто скачать чужой типовой текст и не адаптировать его под реальные процессы, документ будет существовать отдельно от жизни компании и плохо сработает и на проверке, и в споре. Требование закона состоит не в наличии красивого файла, а в наличии реальных мер и локальных актов, которые отражают фактическую обработку данных.
Положение о защите персональных данных должно описывать реальную обработку данных у оператора, а не абстрактный типовой текст «на всякий случай».
2. Кому нужен этот документ в 2026 году
На практике Положение нужно почти каждому, кто обрабатывает персональные данные: работодателю, интернет-магазину, онлайн-школе, салону, медицинской организации, сервису записи, собственнику сайта с формой обратной связи, ИП с клиентской базой, компании с CRM, колл-центром или кадровым учетом. По ст. 18.1 Закона № 152-ФЗ локальные акты по вопросам обработки персональных данных входят в число обязательных мер по обеспечению соблюдения закона, а для работодателя ст. 87 ТК РФ прямо требует установить порядок хранения и использования персональных данных работников.
Особенно это важно в 2026 году, когда формальный подход к защите персональных данных становится все менее безопасным. Если вы собираете заявки с сайта, принимаете сотрудников, ведете клиентскую базу, используете телефонию, передаете сведения в банк, бухгалтерию, курьерскую службу или подрядчику по рассылкам, у вас уже есть практическая необходимость составить внутренний документ. Даже самый удобный конструктор не отменяет обязанности проверить, соответствует ли готовый текст вашей реальной модели обработки данных.
Обычно Положение нужно, если вы:
- принимаете сотрудников или кандидатов;
- собираете обращения с сайта, из мессенджера, по телефону;
- храните анкеты клиентов, пользователей, учеников, пациентов;
- передаете данные подрядчикам или используете облачные сервисы.
3. Чем Положение отличается от политики, согласия и приказа
Частая ошибка — путать Положение с политикой в отношении обработки персональных данных. Политика обычно адресована внешнему кругу лиц: посетителям сайта, клиентам, пользователям. Положение — это внутренний документ, который детально регулирует порядок действий внутри организации или у ИП. Оно описывает процедуры доступа, передачи, хранения, уничтожения, внутреннего контроля, полномочия ответственных лиц и работу с запросами субъектов. Такой подход соответствует логике ст. 18.1 и 19 Закона № 152-ФЗ.
Согласие субъекта персональных данных — это тоже отдельный документ. По ст. 9 Закона № 152-ФЗ согласие должно быть конкретным, предметным, информированным, сознательным и однозначным. Оно не заменяет Положение. Приказ о назначении ответственного лица по ст. 22.1 Закона № 152-ФЗ также не заменяет Положение: приказ назначает конкретного человека, а Положение устанавливает сами правила обработки.
Важно отдельно подчеркнуть: Положение о защите персональных данных — это не соглашение между физическими лицами и не договор между юридическими лицами. Это локальный нормативный акт оператора. Поэтому его нельзя писать по логике гражданско-правового договора. Если искать образец и скачать файл «для подписи сторон», легко получить документ, который по форме и содержанию не соответствует теме.
4. На какие нормы нужно опираться, когда вы начинаете составить документ
Базовый нормативный массив — это Закон № 152-ФЗ. Для темы Положения особенно важны ст. 3, 5, 6, 7, 9, 10, 10.1, 11, 12, 14, 15, 18.1, 19, 21, 22 и 22.1. Из них вытекают принципы обработки, основания обработки, правила конфиденциальности, требования к согласию, особенности специальных категорий и биометрии, правила распространения, права субъекта, обязанности оператора, меры защиты, уведомление и назначение ответственного лица.
Если оператор — работодатель, обязательно нужно учитывать ст. 86–90 ТК РФ. Эти нормы раскрывают цели обработки персональных данных работника, требования к хранению и использованию, правила передачи данных, права работника и ответственность за нарушения. Для информационных систем персональных данных дополнительно имеют значение Постановление Правительства РФ от 01.11.2012 № 1119, приказ ФСТЭК России от 18.02.2013 № 21 и приказ ФСБ России от 10.07.2014 № 378.
Практический вывод простой: сначала нужно понять, какие именно процессы есть у вас, а уже потом брать шаблон, открывать конструктор или искать, где скачать типовой файл на 2026 год. В противном случае в тексте почти неизбежно появятся либо лишние разделы, либо опасные пробелы.
5. С чего начать на практике: карта процессов вместо абстрактного шаблона
Перед тем как писать сам текст, полезно сделать карту обработки персональных данных. Нужно определить:
- категории субъектов;
- перечни персональных данных;
- цели обработки;
- правовые основания;
- круг лиц с доступом;
- сроки хранения;
- порядок уничтожения;
- передачи третьим лицам.
Этот шаг прямо соответствует ст. 5 Закона № 152-ФЗ, где закреплено, что обработка должна быть ограничена достижением конкретных, заранее определенных и законных целей, а состав данных не должен быть избыточным по отношению к этим целям. Именно поэтому не стоит начинать с поиска “идеального текста”, даже если вы нашли хороший образец или очень удобный конструктор. Сначала нужно увидеть свои реальные процессы: кадровый учет, заявки с сайта, продажи, доставка, сервисное сопровождение, бухгалтерия, реклама, пропускной режим, видеонаблюдение и так далее.
На этом этапе особенно полезен типовой каркас, но только как черновик. Его задача — напомнить, какие блоки проверить, а не заменить анализ. То есть шаблон помогает начать, но не решает задачу автоматически.
6. Какие разделы обязательно включить в Положение
Единой законодательно утвержденной формы нет, но по содержанию Положение должно закрывать вопросы, которые вытекают из ст. 18.1, 19, 21 и 22.1 Закона № 152-ФЗ. На практике рабочий документ обычно включает следующие разделы: общие положения, цели обработки, категории субъектов и состав данных, основания обработки, правила доступа, порядок передачи, сроки хранения, меры защиты, права субъектов, порядок рассмотрения запросов, порядок блокирования, изменения и уничтожения данных, внутренний контроль и ответственность.
Если Положение пишется для работодателя, в нем логично дополнительно выделить специальный блок о персональных данных работников, кандидатов, бывших работников и членов их семей в той части, в которой это действительно необходимо для исполнения трудового законодательства. Это соответствует ст. 86–89 ТК РФ.
Хорошая структура удобна еще и тем, что на ее основе потом легко создать сопутствующие документы: формы согласий, листы ознакомления работников, перечни должностей с доступом, акты об уничтожении, шаблоны ответов субъектам. Поэтому, когда читатель ищет образец, часто разумнее искать не один красивый документ, а целую систему документов.
7. Как правильно описать цели обработки и не сделать текст слишком общим
Одна из самых распространенных ошибок — писать расплывчатые цели вроде «в целях осуществления деятельности организации». По ст. 5 Закона № 152-ФЗ цели должны быть конкретными, заранее определенными и законными. Из текста должно быть видно, какие данные и для чего реально используются. Иначе появляется риск избыточной обработки: оператор собирает больше данных, чем ему действительно нужно.
Правильнее описывать цели отдельно по каждому процессу. Например: для работников — кадровый учет, расчет заработной платы, оформление отпусков и больничных, исполнение обязанностей работодателя. Для клиентов — заключение и исполнение договора, доставка товара, сервисное сопровождение, работа с возвратами и претензиями. Для пользователей сайта — обратная связь, обработка заявки, регистрация личного кабинета, исполнение пользовательского соглашения. Такой подход лучше работает и юридически, и practically.
Если вы хотите составить документ быстро, можно взять типовой шаблон, но обязательно проверить, позволяет ли он привязать перечень данных и основание именно к отдельной цели. Если нет, лучше доработать текст вручную, а не надеяться, что конструктор сделает это сам.
8. Основания обработки: когда нужно согласие, а когда нет
Писать в Положении, что все персональные данные обрабатываются только на основании согласия, неправильно. По ст. 6 Закона № 152-ФЗ согласие — только одно из оснований. Обработка может быть допустима, если она необходима для исполнения договора с субъектом, для исполнения обязанностей оператора, установленных законом, для защиты жизни и здоровья, для осуществления правосудия и в других случаях, прямо названных в законе.
Согласие особенно важно там, где иного законного основания нет. Прежде всего это касается прямого маркетинга. По ст. 15 Закона № 152-ФЗ обработка персональных данных в целях продвижения товаров, работ, услуг путем прямых контактов с потенциальным потребителем с помощью средств связи допускается только при условии предварительного согласия субъекта, а если оператор не докажет наличие такого согласия, обработка считается осуществляемой без него.
Отдельный случай — ст. 10.1 Закона № 152-ФЗ. Согласие на обработку персональных данных, разрешенных субъектом для распространения, должно оформляться отдельно от иных согласий. Более того, молчание или бездействие субъекта ни при каких обстоятельствах не считается таким согласием. Поэтому блок о публикации данных на сайте, в соцсетях, на странице сотрудников или партнеров нельзя писать поверхностно.
9. Особенности для работодателя: персональные данные работников и кандидатов
Если Положение готовится работодателем, нужно учитывать специальные требования главы 14 ТК РФ. По ст. 86 ТК РФ обработка персональных данных работника допускается исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. По ст. 87 ТК РФ порядок хранения и использования персональных данных работников устанавливается работодателем с соблюдением требований закона. По ст. 88 регулируется передача данных, по ст. 89 — права работника, а по ст. 90 — ответственность за нарушение соответствующих норм.
Для практики это означает, что в кадровом Положении нужно отдельно описать, какие данные собираются у работников и кандидатов, кто и в каком объеме имеет доступ к таким сведениям, каким адресатам они передаются, как обеспечивается конфиденциальность и каким образом работник может получить доступ к своим данным или потребовать их уточнения.
Особенно важное правило закреплено в п. 8 ст. 86 ТК РФ: работники и их представители должны быть ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных, а также с их правами и обязанностями в этой области. Поэтому недостаточно просто создать документ и сохранить его в папке. Его нужно реально ввести в оборот.
10. Передача данных третьим лицам, подрядчикам и в сервисы
По ст. 7 Закона № 152-ФЗ лица, получившие доступ к персональным данным, обязаны не раскрывать их третьим лицам и не распространять без согласия субъекта, если иное не предусмотрено федеральным законом. Поэтому в Положении необходимо указать, кому именно и в каких случаях оператор может передавать данные: банкам, бухгалтерии на аутсорсе, страховщику, службе доставки, оператору связи, CRM-сервису, колл-центру, хостинг-провайдеру и другим лицам, участвующим в исполнении законных целей обработки.
Если обработка поручается третьему лицу, одного упоминания в Положении мало: нужен и договорный контур. Но само Положение должно описывать общий принцип такой передачи, круг получателей и правила контроля. Для работодателя похожая логика дополнительно следует из ст. 88 ТК РФ о передаче персональных данных работника.
На практике именно здесь чаще всего видно, насколько полезен или бесполезен найденный в сети типовой текст. Если в документе нет ни слова про подрядчиков, а данные фактически уходят в облачные сервисы, у вас уже есть разрыв между текстом и реальной обработкой. Поэтому любой образец нужно перепроверять по своей ИТ-схеме и по своим контрагентам.
11. Сроки хранения, запросы субъекта и уничтожение данных
По ст. 5 Закона № 152-ФЗ персональные данные не должны храниться дольше, чем этого требуют цели обработки, если иной срок не установлен федеральным законом, договором или иным правовым основанием. Это означает, что в Положении не стоит ограничиваться фразой «данные хранятся до достижения целей обработки». Лучше описывать сроки по категориям документов и процессов.
По ст. 14 Закона № 152-ФЗ субъект персональных данных имеет право получить сведения о своих данных, а оператор обязан предоставить информацию о наличии таких данных и дать возможность ознакомления с ними при обращении или в течение 10 рабочих дней с даты получения запроса. Этот срок может быть продлен, но не более чем на 5 рабочих дней при направлении мотивированного уведомления. Именно здесь в предыдущем тексте было неточное место: срок не 30 календарных дней, а 10 рабочих дней с возможностью продления на 5 рабочих дней.
По ст. 21 Закона № 152-ФЗ при выявлении неправомерной обработки оператор обязан прекратить такую обработку в срок, не превышающий 3 рабочих дней. Если обеспечить правомерность невозможно, персональные данные подлежат уничтожению в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки. Эти механизмы должны быть отражены в Положении так, чтобы было понятно, кто именно принимает решение, кто оформляет документы и как подтверждается уничтожение.
Обычно полезно закрепить:
- кто принимает запросы субъектов;
- кто проверяет основания обработки;
- кто готовит ответ;
- кто инициирует блокирование, исправление или уничтожение данных.
Самая слабая часть многих положений — не раздел о целях, а раздел о сроках хранения и порядке уничтожения персональных данных.
12. Какие меры защиты нужно описать в самом документе
Ст. 19 Закона № 152-ФЗ обязывает оператора применять необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий. Для информационных систем эти меры конкретизируются Постановлением Правительства РФ № 1119, приказом ФСТЭК России № 21 и приказом ФСБ России № 378 при использовании средств криптографической защиты информации.
В Положении не нужно переписывать все технические нормы из этих актов, но необходимо описать базовую модель защиты. Обычно туда включают разграничение прав доступа, парольную защиту, порядок хранения бумажных документов, резервное копирование, антивирусную защиту, внутренний контроль, обучение персонала и регламент реагирования на инциденты. Так документ становится рабочим, а не декларативным.
Если читатель хочет быстро составить текст на 2026 год, соблазн велик просто скачать шаблон с двумя фразами о защите данных. Но такой вариант обычно слабый. Раздел о защите должен быть связан с реальными системами и внутренними процессами, иначе он выглядит как пустая формальность.
13. Что показывает судебная практика РФ и можно ли просто скачать типовой текст
Судебная практика показывает общий подход: формального наличия документов недостаточно, если фактическая обработка им не соответствует. Для оценки нематериальных последствий нарушений важен общий ориентир из Постановления Пленума Верховного Суда РФ от 15.11.2022 № 33 «О практике применения судами норм о компенсации морального вреда». Суд должен устанавливать, какие именно действия или бездействие привели к нарушению личных неимущественных прав, имеется ли причинная связь и какие меры принимал причинитель вреда. Этот акт не посвящен исключительно персональным данным, но он применим как общий ориентир для споров, где нарушение правил обработки затрагивает частную жизнь и иные нематериальные блага.
Для темы персональных данных показательно Определение Судебной коллегии по гражданским делам Верховного Суда РФ от 18.02.2025 № 5-КГ24-144-К2. Верховный Суд указал, что при рассмотрении дела о навязчивых рекламных звонках нельзя формально игнорировать доводы гражданина о незаконном использовании контактных данных и вмешательстве в частную жизнь. Для автора Положения практический вывод прямой: если у бизнеса есть обзвон, рассылки, прямые коммуникации или лидогенерация, разделы о согласии, продвижении услуг и прекращении обработки по требованию субъекта должны быть прописаны особенно аккуратно.
Отсюда и ответ на популярный вопрос: можно ли просто скачать образец, открыть конструктор, взять типовой шаблон и использовать его без изменений. Технически — да. Юридически безопасно — нет. Образец, шаблон, конструктор и типовой текст полезны только как стартовая заготовка. Итоговый документ нужно адаптировать под свои цели обработки, свои категории субъектов, свои сроки хранения, своих подрядчиков, свои меры защиты и свои процедуры ответа на запросы. Именно так и нужно создать рабочее Положение на 2026 год.
Признаки того, что найденный текст вам не подходит:
- в нем описаны процессы, которых у вас нет;
- отсутствуют реальные подрядчики и ИТ-сервисы;
- все основания обработки сведены только к согласию;
- не описаны сроки хранения и уничтожения;
- нет правил ответа субъекту;
- нет порядка доступа работников к данным.
Итоговый вывод такой. Положение о защите персональных данных — это не формальный файл “для папки”, а рабочий регламент, который помогает соблюдать Закон № 152-ФЗ ежедневно. Поэтому разумнее сначала взять образец, затем вручную проверить шаблон, при необходимости доработать через конструктор, а уже после этого утверждать документ. Тогда текст будет не просто удобен, чтобы его скачать и распечатать, а действительно полезен для работы.
Содержание
условия и заполняете
шаблон
уникальную ссылку
контрагенту
согласовывает
содержание шаблона
скачиваете
готовый документ
контрагент, вы не можете
редактировать
контрагент не может
редактировать
выбора условий и текста
подсвечиваются
доступен к скачиванию
после согласования