Все новости законодательства
у вас на почте

Подпишитесь на рассылки

Все новости законодательства в вашей электронной почте

Подпишитесь на наши рассылки

Войти

Документы по обработке персональных данных в 2025 году

1968
24 июня

Каждый оператор персональных данных должен иметь определенный пакет документов, регулирующих его деятельность. За его отсутствие компании грозит штраф. В нашей статье расскажем, как осуществляется разработка таких документов, а также приведем образцы, доступные для скачивания.

Над статьей работали:
редактор: Бурцева Алла

Содержание

  1. Положение о персональных данных
  2. Образец положения о персональных данных
  3. Политика обработки персональных данных
  4. Образец политики обработки персональных данных
  5. Приказ о назначении ответственного за обработку персональных данных
  6. Образец приказа о назначении лица, ответственного за обработку персональных данных
  7. Приказ об утверждении перечня лиц, имеющих доступ к персональным данным
  8. Образец приказа об утверждении перечня лиц, имеющих доступ к персональным данным
  9. Обязательство о неразглашении персональных данных
  10. Образец обязательства о неразглашении персональных данных
  11. Согласие работника на обработку персональных данных
  12. Образец согласия работника на обработку персональных данных
  13. Заявление об отзыве согласия на обработку персональных данных
  14. Образец заявления об отзыве согласия на обработку персональных данных
  15. Согласие работника на обработку персональных данных, разрешенных им для распространения
  16. Образец согласия работника на обработку персональных данных, разрешенных им для распространения
  17. Согласие работника на передачу его персональных данных третьей стороне
  18. Образец согласия работника на передачу его персональных данных третьей стороне

Положение о персональных данных

Оператор персональных данных должен разработать локальные нормативные акты, которые (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ):
• определяют категории и перечень обрабатываемых личных сведений граждан для каждой из целей обработки;
• устанавливают категории физлиц, данные которых обрабатываются (работники, клиенты, исполнители и так далее);
• определяют способы, сроки обработки и хранения полученной информации;
• регулируют порядок уничтожения информации при достижении целей ее обработки;
• устанавливают процедуры, которые направлены на выявление нарушений законодательства, устранение последствий таких нарушений, а также на предотвращение совершения таких нарушений в будущем.

Четкого перечня документов по обработке персданных законодательство не содержит. На практике зачастую составляют положение о персональных данных, в котором отражают все вышеперечисленные сведения. Документ утверждает своим приказом генеральный директор компании. Все сотрудники фирмы должны быть ознакомлены с ним под подпись. Для этого можно завести специальный журнал с перечнем всех работающих в организации лиц, в котором каждый проставит свою подпись после прочтения правил.

Образец положения о персональных данных

По ссылке можно скачать образец положения о персональных данных.

Политика обработки персональных данных

Каждый оператор должен иметь утвержденную политику в отношении обработки персональных данных (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). При разработке документа можно пользоваться рекомендациями Роскомнадзора. Ведомство предлагает включать в него следующие структурные элементы:
1) общие положения. Здесь описывается назначение политики, приводятся определения основных понятий, используемых в документе, перечисляются основные права и обязанности оператора и физлиц, сведения о которых он использует;
2) цели сбора информации. Они должны быть законными, конкретными и заранее определенными;
3) правовые основания обработки информации. Это совокупность нормативно-правовых актов, во исполнение которых и в соответствии с которыми оператор использует личные сведения граждан;
4) объем и категории обрабатываемых сведений, категории субъектов персональных данных. К последним могут быть отнесены, например:
• соискатели, действующие и бывшие сотрудники компании, их родственники;
• физлица, являющиеся клиентами и контрагентами фирмы;
• сотрудники партнеров оператора, являющихся юридическими лицами.
В рамках каждой из категорий субъектов и применительно к конкретным целям нужно перечислить все обрабатываемые личные сведения граждан. Кроме того, рекомендуется отдельно описать все случаи обработки специальных категорий и биометрических персональных данных;
5) порядок и условия использования личных сведений граждан. Здесь необходимо привести перечень всех действий, совершаемых оператором с персданными, а также описать способы и сроки обработки таких данных;
6) исправление, актуализация и уничтожение информации, ответы на запросы субъектов на доступ к персданным.

Помимо этого, в документ рекомендуется включать алгоритмы, по которым компания будет реагировать на запросы и обращения физлиц и уполномоченных госорганов по поводу неточности персданных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к информации о себе.

К политике оператор обязан обеспечить неограниченный доступ. Если он собирает личные сведения граждан посредством своего сайта, должен обеспечить доступ к политике на всех страницах сайта, с помощью которых происходит такой сбор (ч. 2 ст. 18 закона № 152-ФЗ).

Если оператор это не сделает, штраф может составить (ч. 3 ст. 13.11 КоАП РФ):
• для граждан – от 1,5 до 3 тыс. рублей;
• должностных лиц — от 6 до 12 тыс. рублей;
• ИП – от 10 до 20 тыс. рублей;
• юрлиц – от 30 до 60 тыс. рублей.

Образец политики обработки персональных данных

По ссылке можно скачать образец политики обработки персональных данных.

Приказ о назначении ответственного за обработку персональных данных

Директор своим приказом назначает сотрудника, который будет отвечать за организацию обработки личных сведений граждан (ч. 1 ст. 22.1 закона № 152-ФЗ). В его обязанности, в частности, входит (ч. 4 ч. 1 ст. 22.1 закона № 152-ФЗ):
• внутренний контроль за соблюдением компанией и ее сотрудниками российского законодательства о персональных данных;
• доведение до сведения сотрудников положений законодательства и локальных актов компании по вопросам обработки и защиты личных сведений граждан;
• прием и обработка обращений и запросов субъектов персональных данных или их представителей.

Форма приказа не утверждена, поэтому каждая компания составляет его произвольно. Главное – в приказе должны быть указаны Ф.И.О. и должность сотрудника, назначаемого ответственным за обработку личной информации. Документом также можно предусмотреть размер доплаты за исполнение работником дополнительных функций. Обязанности ответственного лица необходимо детально прописать в должностной инструкции или трудовом договоре, если инструкции на предприятии не составляются. Указание на необходимость внесения соответствующих изменений в данные документы также можно отразить в приказе.

Образец приказа о назначении лица, ответственного за обработку персональных данных

По ссылке можно скачать образец приказа о назначении лица, ответственного за обработку персональных данных.

Приказ об утверждении перечня лиц, имеющих доступ к персональным данным

В компании должен быть утвержденный перечень лиц, которым разрешено работать с персональными данными (ст. 88 ТК РФ). При этом каждое должностное лицо должно иметь доступ к тем сведениям, которые необходимы ему для осуществления своих трудовых обязанностей. Например, инспектор отдела кадров работает с персональными данными сотрудников фирмы, тогда как менеджеру по продажам нужны персональные данные клиентов-физлиц.

Если обработка данных ведется с помощью информационной системы, требуется составить перечень должностных лиц, имеющих доступ к ИС (пп. «в» п. 13 требований, утвержденных Постановлением Правительства РФ от 01.11.2012 № 1119). При необходимости оба перечня можно объединить в один документ.

Образец приказа об утверждении перечня лиц, имеющих доступ к персональным данным

По ссылке можно посмотреть образец приказа об утверждении перечня лиц, имеющих доступ к персональным данным.

Обязательство о неразглашении персональных данных

С сотрудников, которые в связи с выполнением трудовых обязанностей имеют доступ к личным сведениям граждан, нужно взять обязательство о неразглашении. Обычно работник подтверждает, что:
• ему известно о получении им доступа к личным сведениям физических лиц в связи с исполнением трудовых обязанностей;
• он не имеет права разглашать защищаемую информацию и передавать ее третьим лицам;
• он понимает, что может быть привлечен к ответственности за разглашение сведений.

Обязательство, в частности, нужно для того, чтобы при разглашении персональных данных виновного работника можно было привлечь к ответственности (п. 43 Постановления Пленума Верховного Суда РФ от 17.03.2004 № 2).

Образец обязательства о неразглашении персональных данных

По ссылке можно скачать образец обязательства о неразглашении персональных данных.

Согласие работника на обработку персональных данных

По общему правилу на сбор и обработку личных сведений гражданина от него нужно получить согласие (п. 1 ч. 1 ст. 6 закона № 152-ФЗ). Оно должно отвечать таким требованиям, как (ч. 1 ст. 9 закона № 152-ФЗ):
• конкретность,
• информированность,
• сознательность,
• предметность,
• однозначность.

Согласие на обработку личных сведений не требуется в случаях, описанных в пп. 2 — 11 ч. 1 ст. 6, п. 2.3 ч. 2 ст. 10 закона № 152-ФЗ. В частности, не требуется согласие на обработку персданных (разъяснения Роскомнадзора «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве»):
• работника (соискателя), полученных по результатам проведения обязательного медосмотра (ст. 69 ТК РФ);
• претендента на должность, полученные от кадрового агентства, с которым у соискателя заключен соответствующий договор;
• работника – в случаях, предусмотренных коллективным договором или локальным актом компании;
• которые передаются в госорган в случаях, предусмотренных законодательством, к примеру, при передаче данных в налоговую инспекцию (письмо ФНС РФ от 08.06.2022 № ПА-3-24/5978@);
• необходимых для организации пропускного режима на территорию предприятия;
• близких родственников работников – в случаях, установленных законом, например, когда они нужны для перечисления алиментов или оформления соцвыплат.

Если трудовой договор заключается по типовой форме, утвержденной Постановлением Правительства РФ от 27.08.2016 № 858, в ней прямо предусмотрено согласие работника на обработку его личной информации. В остальных случаях согласие рекомендуем оформлять отдельным документом. Его форма не утверждена, поэтому документ составляют произвольно. В него необходимо включить информацию, указанную в ч. 4 ст. 9 закона № 152-ФЗ. Это, в частности:
• Ф.И.О., адрес физлица, его паспортные данные;
• Ф.И.О., адрес представителя гражданина, его паспортные данные, реквизиты доверенности или другого документа, подтверждающего полномочия этого представителя (при получении согласия от представителя гражданина);
• название или Ф.И.О., адрес оператора, получающего согласие на обработку сведений;
• цель обработки информации;
• перечень сведений о гражданине, на обработку которых дается согласие;
• название или Ф.И.О., адрес лица, осуществляющего обработку информации по поручению оператора, если обработка будет поручена такому лицу;
• перечень действий с данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки;
• срок, в течение которого действует согласие, а также способ его отзыва, если другое правило не установлено законом;
• подпись гражданина или его представителя.

За обработку личных сведений без письменного согласия субъекта на их обработку в случаях, когда такое согласие должно быть получено в соответствии с законом, за исключением случаев, предусмотренных ст. 17.13 КоАП РФ, если эти действия не содержат уголовно наказуемого деяния, может быть наложен штраф в размере (ч. 2 ст. 13.11 КоАП РФ):
• от 10 до 15 тыс. рублей – для граждан;
• от 100 до 300 тыс. рублей – для должностных лиц;
• от 300 до 700 тыс. рублей – для компаний.

За повторное нарушение штраф увеличится (ч. 2.1 ст. 13.11 КоАП РФ):
• от 15 до 30 тыс. рублей – для граждан;
• от 300 до 500 тыс. рублей – для должностных лиц;
• от 500 тыс. до 1 млн рублей – для ИП;
• от 1 до 1,5 млн рублей – для компаний.

Образец согласия работника на обработку персональных данных

По ссылке можно скачать образец согласия работника на обработку персональных данных.

Заявление об отзыве согласия на обработку персональных данных

Субъект персональных данных может в любое время отозвать согласие на обработку своих данных (ч. 2 ст. 9 закона № 152-ФЗ). По общему правилу оператор в таком случае должен перестать обрабатывать данную информацию. Если ее сохранение больше не нужно для целей обработки, информацию нужно уничтожить. Срок – не более 30 дней с даты поступления отзыва (ч. 5 ст. 21 закона № 152-ФЗ).

В случае отзыва физлицом согласия на обработку его личных сведений оператор вправе продолжить обработку сведений без согласия субъекта персональных данных при наличии оснований, перечисленных в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ.

Образец заявления об отзыве согласия на обработку персональных данных

По ссылке можно посмотреть образец заявления об отзыве согласия на обработку персональных данных.

Согласие работника на обработку персональных данных, разрешенных им для распространения

Согласие на обработку личных сведений сотрудника, разрешенных им для распространения, необходимо оформлять отдельно от других согласий. Требования к его содержанию утверждены Приказом Роскомнадзора от 24.02.2021 № 18. При составлении документа работнику нужно дать возможность определить перечень данных по каждой категории, указанной в согласии. Он также вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц (ч. 1, 9 ст. 10.1 закона № 152-ФЗ).

В документе необходимо пописать следующую информацию:
1) Ф.И.О. работника;
2) его контактную информацию (номер телефона, адрес электронной почты или почтовый адрес);
3) информацию об операторе (для компании — название, адрес, указанный в ЕГРЮЛ, ИНН, ОГРН, для ИП — Ф.И.О., ИНН, ОГРН, для физлица — Ф.И.О., место жительства или место пребывания);
4) сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;
5) цели обработки информации;
6) категории и перечень личных сведений, на обработку которых дается согласие сотрудником:
• персональные данные (Ф.И.О., дата и место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных);
• специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
• биометрические персданные;
7) категории и перечень сведений, для обработки которых гражданин устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (по желанию работника);
8) условия, при которых полученная информация может передаваться только по внутренней сети оператора, которая дает доступ к ней лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (по желанию работника);
9) срок действия согласия.

Образец согласия работника на обработку персональных данных, разрешенных им для распространения

По ссылке можно скачать образец согласия работника на обработку персональных данных, разрешенных им для распространения.

Согласие работника на передачу его персональных данных третьей стороне

По общему правилу работодатель не может передавать личные данные сотрудников третьим лицам без их письменного согласия (абз. 2, 3 ч. 1 ст. 88 ТК РФ). Однако из этого правила существуют исключения. Не нужно, в частности, письменное согласие, если передача сведений осуществляется:
• для предупреждения угрозы жизни и здоровью сотрудника (абз. 2 ч. 1 ст. 88 ТК РФ);
• в налоговую инспекцию, СФР – в случаях, предусмотренных законом (пп. 1, 2, 4 п. 3 ст. 24 НК РФ, абз. 15 ч. 2 ст. 22 ТК РФ, ч. 2 ст. 15 Закона «Об индивидуальном (персонифицированном) учете в системах обязательного пенсионного страхования и обязательного социального страхования» от 01.04.1996 № 27-ФЗ, п. 2 ст. 14 Закона «Об обязательном пенсионном страховании в Российской Федерации» от 15.12.2001 № 167-ФЗ);
• в военкоматы (пп. «г» п. 30, пп. «а», «б», «д», «е» п. 32 положения о воинском учете, утвержденного Постановлением Правительства РФ от 27.11.2006 № 719).

Форма такого согласия нормативно не закреплена, поэтому документ составляется произвольно. Главное — из него должно быть понятно, кому и с какой целью будут передаваться личные данные сотрудника.

Образец согласия работника на передачу его персональных данных третьей стороне

По ссылке можно посмотреть образец согласия работника на передачу его персональных данных третьей стороне.

1
Читайте также
эту статью еще не обсуждали
Вы можете оставить первый комментарий

Авторизуйтесь, чтобы оставлять комментарии

Нет аккаунта? Зарегистрируйтесь