Положение о защите персональных данных — обязательный локальный нормативный акт для каждого оператора ПДн. Статья 18.1 Федерального закона №152-ФЗ прямо требует от организации принять документ, определяющий политику в отношении обработки персональных данных. Роскомнадзор проверяет наличие и содержание этого документа в первую очередь — как при плановых, так и при внеплановых проверках.
В этой статье — полная структура положения о защите ПДн, примеры формулировок для каждого раздела, порядок утверждения и рекомендации по актуализации документа в 2026 году.
Зачем нужно положение о защите персональных данных
Требования закона 152-ФЗ
Обязанность оператора разработать и утвердить положение об обработке ПДн закреплена в нескольких нормах 152-ФЗ:
- Ст. 18.1 — оператор обязан принимать меры по обеспечению выполнения обязанностей, предусмотренных законом, включая издание документов, определяющих политику в отношении обработки ПДн.
- Ст. 22.1 — оператор обязан назначить ответственного за организацию обработки ПДн, который, в том числе, контролирует соблюдение положения.
- Ст. 19 — оператор обязан принимать организационные и технические меры для защиты ПДн.
Положение — это основной документ, в котором организация фиксирует, как именно она выполняет эти обязанности.
Последствия отсутствия документа
Отсутствие положения о защите ПДн влечёт административную ответственность:
| Нарушение | Штраф для должностных лиц | Штраф для юридических лиц |
|---|---|---|
| Отсутствие политики обработки ПДн | 6 000 — 12 000 руб. | 30 000 — 60 000 руб. |
| Необеспечение публикации политики на сайте | 6 000 — 12 000 руб. | 30 000 — 60 000 руб. |
| Обработка ПДн без согласия субъекта | 20 000 — 40 000 руб. | 30 000 — 150 000 руб. |
| Утечка ПДн (с 2025 года) | до 800 000 руб. | до 18 000 000 руб. |
Штрафы за утечку ПДн с 2025 года выросли многократно. Оборотные штрафы для крупных компаний могут достигать 3% годовой выручки. Наличие актуального положения и работающей системы защиты ПДн — базовое условие снижения рисков.
Отличие положения от политики конфиденциальности
Организация обязана иметь два документа, которые часто путают:
| Параметр | Положение о защите ПДн | Политика обработки ПДн |
|---|---|---|
| Тип | Внутренний (локальный) документ | Публичный документ |
| Аудитория | Сотрудники, ответственные лица | Субъекты ПДн, посетители сайта |
| Содержание | Детальный порядок обработки, обязанности, технические меры, ответственность | Краткое описание целей, прав субъектов, контакты ответственного |
| Размещение | Внутренний документооборот | Обязательно на сайте (ст. 18.1 152-ФЗ) |
| Объём | 15-30 страниц | 3-7 страниц |
Оба документа обязательны. Положение регулирует внутренние процессы. Политика информирует субъектов ПДн об их правах. Подменять один документ другим нельзя.
Обязательные разделы положения о защите ПДн
Структура положения должна охватывать все аспекты обработки ПДн в организации. Ниже — перечень обязательных разделов с описанием содержания.
| № | Раздел | Что включает |
|---|---|---|
| 1 | Общие положения | Цели документа, область действия, нормативные ссылки |
| 2 | Термины и определения | Определения ПДн, оператора, субъекта, ИСПДн, обработки |
| 3 | Категории обрабатываемых ПДн | Перечень категорий: иные, специальные, биометрические |
| 4 | Цели и правовые основания | Для каждой цели — правовое основание (закон, договор, согласие) |
| 5 | Способы обработки | Автоматизированная, неавтоматизированная, смешанная |
| 6 | Порядок сбора и получения | Источники получения ПДн, формы согласий |
| 7 | Хранение и сроки обработки | Места хранения, сроки, условия прекращения |
| 8 | Передача третьим лицам | Основания, перечень получателей, поручения |
| 9 | Права субъектов ПДн | Доступ, уточнение, блокирование, удаление, отзыв согласия |
| 10 | Обязанности оператора и сотрудников | Действия при получении, хранении, уничтожении ПДн |
| 11 | Меры безопасности | Организационные и технические меры по ПП-1119 и ФСТЭК №21 |
| 12 | Ответственность | Дисциплинарная, административная, уголовная |
| 13 | Порядок пересмотра | Периодичность, основания для внеочередного пересмотра |
Общие положения и область действия
Раздел определяет назначение документа, перечень нормативных актов, на которые он опирается, и круг лиц, на которых распространяется.
Пример формулировки: «Настоящее Положение определяет порядок обработки и защиты персональных данных в ООО "Компания" (далее — Оператор) и распространяется на все процессы обработки ПДн, осуществляемые Оператором с использованием средств автоматизации и без таковых. Положение разработано в соответствии с Конституцией Российской Федерации, Федеральным законом от 27.07.2006 №152-ФЗ "О персональных данных", Постановлением Правительства РФ от 01.11.2012 №1119, Приказом ФСТЭК России от 18.02.2013 №21.»
Термины и определения
Раздел содержит определения ключевых терминов из 152-ФЗ: персональные данные, оператор, субъект ПДн, обработка, информационная система персональных данных, автоматизированная обработка, распространение, предоставление, блокирование, уничтожение.
Рекомендация: Используйте определения из ст. 3 152-ФЗ дословно. Добавление собственных трактовок может привести к замечаниям при проверке Роскомнадзора.
Категории обрабатываемых ПДн
В этом разделе перечисляются конкретные категории ПДн, которые обрабатывает организация, с привязкой к целям обработки.
Пример формулировки: «Оператор обрабатывает следующие категории персональных данных: 1) Иные ПДн сотрудников: фамилия, имя, отчество, дата рождения, адрес регистрации, паспортные данные, ИНН, СНИЛС, данные трудовой книжки, сведения об образовании. 2) Иные ПДн клиентов: фамилия, имя, отчество, номер телефона, адрес электронной почты, адрес доставки. 3) Специальные ПДн сотрудников: сведения о состоянии здоровья (в объёме листка нетрудоспособности).»
Цели и правовые основания обработки
Для каждой цели обработки необходимо указать правовое основание. Это критически важный раздел — несоответствие целей и оснований является частой претензией Роскомнадзора.
Пример формулировки: «Обработка ПДн осуществляется в следующих целях: 1) Выполнение обязанностей работодателя в рамках трудовых отношений (основание: ст. 6 ч. 1 п. 5 152-ФЗ, Трудовой кодекс РФ). 2) Исполнение договоров с клиентами (основание: ст. 6 ч. 1 п. 5 152-ФЗ). 3) Направление информационных и рекламных материалов (основание: согласие субъекта ПДн, ст. 6 ч. 1 п. 1 152-ФЗ).»
Порядок обработки персональных данных
Сбор и получение ПДн
Раздел описывает, каким образом организация получает персональные данные: непосредственно от субъекта (анкеты, формы на сайте, заявления), от третьих лиц (контрагенты, государственные реестры), из открытых источников.
Ключевые требования:
- ПДн собираются только для заявленных целей;
- объём собираемых данных не должен быть избыточным;
- согласие на обработку получается до начала обработки;
- при сборе ПДн через сайт — обязательна ссылка на политику обработки ПДн.
Хранение и сроки обработки
Пример формулировки: «Персональные данные хранятся в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки. Персональные данные подлежат уничтожению при: достижении целей обработки; отзыве согласия субъектом ПДн; выявлении неправомерной обработки. Сроки хранения: ПДн сотрудников — 75 лет (приказ Росархива №236); ПДн клиентов — в течение действия договора и 3 года после его прекращения; ПДн кандидатов — 1 год после получения (если не получено согласие на больший срок).»
Передача ПДн третьим лицам
Раздел регулирует случаи предоставления ПДн третьим лицам: на основании договора поручения (ст. 6 ч. 3 152-ФЗ), по запросу государственных органов, в рамках исполнения договора с субъектом.
Если организация передаёт обработку ПДн третьему лицу (аутсорсинг бухгалтерии, облачный сервис), необходимо заключить договор поручения обработки ПДн с обязательством соблюдать конфиденциальность и обеспечить безопасность.
Уничтожение и обезличивание
Пример формулировки: «Уничтожение персональных данных осуществляется комиссией в составе не менее трёх человек. При уничтожении ПДн на бумажных носителях — шредирование. При уничтожении ПДн в ИСПДн — удаление записей с невозможностью восстановления. Факт уничтожения оформляется актом уничтожения персональных данных, который подписывается всеми членами комиссии и хранится не менее 3 лет.»
Права субъектов персональных данных
Право на доступ и получение информации
Субъект ПДн имеет право получить от оператора информацию о том, какие его данные обрабатываются, на каком основании, в каких целях и кому передаются (ст. 14 152-ФЗ). Оператор обязан предоставить эту информацию в течение 10 рабочих дней с момента обращения.
Право на отзыв согласия
Субъект вправе в любой момент отозвать своё согласие на обработку ПДн (ст. 9 ч. 2 152-ФЗ). При отзыве согласия оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней, если иное не предусмотрено законом.
Важно: Отзыв согласия не влечёт прекращения обработки, если она осуществляется на ином правовом основании (например, исполнение договора или требование закона).
Порядок обращения субъекта ПДн
В положении необходимо указать:
- каналы обращения (электронная почта, почтовый адрес, личный приём);
- требования к содержанию обращения (ФИО, реквизиты документа, удостоверяющего личность);
- сроки рассмотрения (10 рабочих дней — ст. 14 152-ФЗ);
- ответственного за обработку обращений.
Меры по обеспечению безопасности ПДн
Организационные меры
В положении необходимо описать организационные меры, принятые оператором:
- назначение ответственного за организацию обработки ПДн (ст. 22.1 152-ФЗ);
- определение перечня лиц, допущенных к обработке ПДн;
- разграничение обязанностей по обработке ПДн;
- обучение персонала правилам обработки и защиты ПДн;
- организация допуска в помещения, где обрабатываются ПДн;
- контроль выполнения требований положения.
Технические меры
Раздел содержит ссылки на технические меры защиты, реализованные в соответствии с Приказом ФСТЭК №21 и ПП-1119:
- идентификация и аутентификация пользователей;
- управление доступом на основе ролевой модели;
- антивирусная защита рабочих станций и серверов;
- межсетевое экранирование;
- регистрация событий безопасности;
- резервное копирование;
- шифрование каналов передачи ПДн (при необходимости).
Детальное описание технических мер обычно оформляется отдельным документом — техническим заданием на СЗПДн. В положении достаточно перечислить группы мер и сделать ссылку.
Ответственность за нарушение положения
Дисциплинарная и материальная ответственность сотрудников
Сотрудники, нарушившие требования положения о защите ПДн, несут ответственность в соответствии с трудовым законодательством:
- замечание, выговор, увольнение (ст. 192 ТК РФ);
- материальная ответственность за причинённый ущерб (ст. 238 ТК РФ);
- уголовная ответственность за незаконное распространение ПДн (ст. 137 УК РФ — штраф до 200 000 руб. или лишение свободы до 2 лет).
Административная ответственность организации
Статья 13.11 КоАП РФ предусматривает штрафы за нарушения в области ПДн по 8 составам. Размеры штрафов для юридических лиц варьируются от 30 000 до 18 000 000 руб. в зависимости от вида нарушения.
С 2025 года введены оборотные штрафы за повторные утечки — до 3% годовой выручки компании, но не менее 15 млн руб. и не более 500 млн руб.
Пример формулировок для положения о защите ПДн
Формулировка цели обработки
«Оператор обрабатывает персональные данные в следующих целях: а) обеспечение соблюдения законов и иных нормативных правовых актов; б) заключение и исполнение трудовых договоров; в) заключение и исполнение договоров с клиентами (заказчиками); г) ведение бухгалтерского и налогового учёта; д) обеспечение пропускного режима на территорию Оператора; е) информирование клиентов о продуктах и услугах Оператора (при наличии согласия субъекта).»
Формулировка порядка хранения
«Персональные данные на бумажных носителях хранятся в запираемых шкафах (сейфах) в помещениях, доступ в которые ограничен. Ключи находятся у ответственного за обработку ПДн. Персональные данные в электронном виде хранятся в ИСПДн Оператора на серверах, расположенных на территории Российской Федерации. Доступ к ИСПДн предоставляется на основании заявки руководителя подразделения, согласованной ответственным за обработку ПДн.»
Формулировка порядка уничтожения
«Уничтожение персональных данных производится при наступлении следующих оснований: достижение цели обработки; истечение срока действия согласия субъекта; отзыв согласия субъектом ПДн (при отсутствии иных правовых оснований); требование субъекта или уполномоченного органа о прекращении неправомерной обработки. Уничтожение оформляется актом, подписанным членами комиссии. Срок уничтожения — не более 30 дней с момента наступления основания.»
Как утвердить и ввести положение в действие
Приказ об утверждении
Положение вводится в действие приказом руководителя организации. В приказе указываются:
- дата введения положения в действие;
- лицо, ответственное за организацию обработки ПДн;
- перечень лиц, обязанных ознакомиться с положением;
- лицо, ответственное за контроль исполнения приказа.
Пример формулировки приказа: «ПРИКАЗЫВАЮ: 1. Утвердить и ввести в действие с 01.03.2026 Положение об обработке и защите персональных данных в ООО "Компания" (Приложение №1). 2. Назначить Иванова И.И., начальника отдела ИБ, ответственным за организацию обработки персональных данных. 3. Руководителям структурных подразделений обеспечить ознакомление сотрудников с Положением под подпись в срок до 15.03.2026. 4. Контроль исполнения настоящего приказа оставляю за собой.»
Ознакомление сотрудников
Все сотрудники, имеющие доступ к ПДн, должны быть ознакомлены с положением под подпись. Способы фиксации ознакомления:
- лист ознакомления (приложение к положению);
- журнал ознакомления с локальными нормативными актами;
- электронное ознакомление (при наличии системы электронного документооборота с ЭЦП).
При приёме новых сотрудников ознакомление с положением проводится до начала работы с ПДн — как правило, в рамках оформления трудовых отношений.
Порядок пересмотра и обновления
Положение рекомендуется пересматривать не реже одного раза в год. Основания для внеочередного пересмотра:
- изменения в законодательстве о ПДн (поправки в 152-ФЗ, новые подзаконные акты);
- изменение состава обрабатываемых ПДн или целей обработки;
- изменение организационной структуры;
- внедрение новых ИСПДн;
- результаты аудита или проверки Роскомнадзора;
- инцидент с ПДн.
Каждая новая версия утверждается приказом. Предыдущая версия хранится в архиве.
Автоматическая генерация положения о защите ПДн
Преимущества автоматизации перед ручной разработкой
Ручная разработка положения занимает от одной до четырёх недель: анализ нормативной базы, адаптация шаблона под специфику организации, согласование с юристами, утверждение. При изменении законодательства процесс повторяется.
Универсальные шаблоны из интернета — другая крайность: они не учитывают конкретные категории ПДн, цели обработки, перечень ИСПДн и отраслевую специфику. Использование неадаптированного шаблона — частая причина замечаний при проверке Роскомнадзора.
Автоматизация через SGRC-платформу решает обе проблемы: документ генерируется на основе реальных данных организации, а при изменениях — обновляется с учётом новой нормативной базы.
Как КиберОснова генерирует документы по данным организации
Модуль документов ИБ платформы КиберОснова позволяет:
- Генерировать положение на основе данных из реестра ИСПДн, категорий ПДн, целей обработки — не шаблон, а готовый документ с заполненными данными конкретной организации.
- Контролировать версии — каждое изменение фиксируется, предыдущие версии сохраняются.
- Отслеживать сроки пересмотра — система уведомляет о необходимости обновления при изменении НПА или по расписанию.
- Согласовывать — маршруты согласования с уведомлениями для ответственных лиц.
- Управлять ознакомлением — электронное ознакомление сотрудников с фиксацией даты и ФИО.
Платформа также генерирует остальные документы по защите ПДн: приказы, согласия, инструкции, политику для сайта. Запросите демо, чтобы увидеть генератор документов в действии.
FAQ — Частые вопросы о положении о защите ПДн
Обязательно ли иметь положение о защите ПДн?
Да. Согласно ст. 18.1 152-ФЗ, оператор обязан принять документ, определяющий его политику в отношении обработки ПДн. Положение о защите ПДн выполняет эту функцию. Роскомнадзор проверяет наличие и содержание документа в первую очередь.
Чем положение отличается от политики конфиденциальности?
Положение — внутренний документ для сотрудников, регламентирующий порядок обработки и защиты ПДн. Политика конфиденциальности — публичный документ для субъектов ПДн, размещаемый на сайте. Оба документа обязательны, но имеют разное назначение и аудиторию.
Какие разделы обязательны?
Минимум 11-13 разделов: общие положения, термины, категории ПДн, цели и основания обработки, способы обработки, порядок сбора и хранения, передача третьим лицам, права субъектов, обязанности оператора, меры безопасности, ответственность, порядок пересмотра.
Как часто нужно обновлять положение?
Рекомендуется пересматривать не реже одного раза в год. Обязательно — при изменении законодательства, состава ПДн, организационной структуры, внедрении новых ИСПДн или по результатам проверки РКН.
Можно ли использовать готовый шаблон?
Шаблон можно использовать как скелет документа, но его обязательно нужно адаптировать: заполнить конкретные категории ПДн, цели обработки, перечень ИСПДн, меры безопасности. Неадаптированный шаблон — частая причина замечаний Роскомнадзора.
Кто утверждает положение?
Положение утверждается приказом руководителя организации (генерального директора). Все сотрудники, имеющие доступ к ПДн, ознакамливаются под подпись. Платформа КиберОснова автоматизирует процесс согласования и ознакомления.
