Положение об обработке персональных данных: образец 2026 — ПдПро
ПдПро
Документы
1 мин чтения·

Положение об обработке персональных данных: образец 2026

Положение об обработке персональных данных: образец 2026

Положение об обработке персональных данных — это внутренний нормативный документ оператора, который детально регламентирует порядок работы с персональными данными внутри организации. В отличие от публичной политики, которая адресована субъектам данных, положение адресовано сотрудникам компании и описывает конкретные процедуры, права доступа, сроки и ответственность.

Разработать положение обязаны все операторы персональных данных — на основании ст. 18.1 152-ФЗ. Для работодателей это требование дополнительно закреплено в ст. 87 Трудового кодекса РФ. Для ИП без сотрудников, которые обрабатывают данные клиентов или пользователей сайта, основанием является именно ст. 18.1 152-ФЗ — обязанность принять внутренние документы, регулирующие обработку ПД.

Цена ошибки: штрафы 2026

Прежде чем разбирать структуру документа — несколько цифр, которые объясняют, зачем его делать правильно.

С 30.05.2025 действует обновлённая редакция ст. 13.11 КоАП РФ (420-ФЗ). Штрафы для юридических лиц:

Нарушение Штраф для юрлица
Неуведомление РКН об инциденте/утечке 1–3 млн руб.
Утечка данных 1–10 тыс. субъектов 3–5 млн руб.
Утечка данных 10–100 тыс. субъектов 5–10 млн руб.
Утечка данных >100 тыс. субъектов 10–15 млн руб.
Утечка биометрии или спецкатегорий 15–20 млн руб.
Повторная утечка 1–3% годовой выручки
Хранение данных граждан РФ в зарубежных БД (с 01.07.2025) 1–6 млн руб. (ч. 8 ст. 13.11, 23-ФЗ)

Скидка 50% на оплату штрафа по ст. 13.11 исключена для всех составов.

Положение об обработке ПД — это не гарантия от штрафа, но его отсутствие или формальность при проверке означает, что оператор не может подтвердить принятие мер. А это прямое основание для санкций.

Чем положение отличается от политики

Это самый частый вопрос при формировании пакета документов. Разница принципиальная:

Критерий Политика обработки ПД Положение об обработке ПД
Аудитория Субъекты данных (клиенты, пользователи) Сотрудники и руководители
Характер Публичный документ Внутренний документ
Размещение На сайте, на стенде В локальных нормативных актах
Уровень детализации Общий (цели, права субъектов) Детальный (процедуры, ответственные, сроки)
Ознакомление Любой желающий Под роспись всех сотрудников
Правовое основание Ч. 2 ст. 18.1 152-ФЗ Ст. 18.1 152-ФЗ, ст. 87 ТК РФ

Некоторые организации объединяют политику и положение в один документ. Это допустимо, но тогда он должен быть одновременно публичным и содержать все элементы обоих документов. Для организаций с сотрудниками лучше разделять.

Правовые основания для разработки положения

Статья 18.1 152-ФЗ — обязывает всех операторов принять внутренние документы, регулирующие обработку ПД: определять категории данных, цели обработки, порядок уничтожения, процедуры предотвращения нарушений. Это основание распространяется на юридических лиц, ИП и физических лиц — операторов персональных данных.

Статья 87 ТК РФ — дополнительно обязывает работодателей установить порядок хранения, использования и защиты персональных данных работников в локальном нормативном акте.

Постановление Правительства № 687 — устанавливает особенности обработки ПД без средств автоматизации.

Постановление Правительства № 1119 — определяет уровни защиты информационных систем персональных данных.

Кто утверждает положение

Положение об обработке ПД является локальным нормативным актом организации. Порядок его принятия:

  1. Разрабатывается ответственным за ПД (юристом, кадровиком, ИТ-специалистом) или привлечённым консультантом
  2. При наличии профсоюза — согласовывается с профсоюзом (ст. 372 ТК РФ)
  3. Утверждается приказом руководителя организации
  4. Доводится до сведения всех сотрудников под роспись — до подписания трудового договора или при уже работающих сотрудниках — до введения документа в действие

Для ИП: положение утверждается самим индивидуальным предпринимателем.

Обязательные разделы положения

1. Общие положения

Указывается:

  • Цель документа
  • Сфера применения (все структурные подразделения, конкретные должности)
  • Ссылки на законодательство (152-ФЗ, ТК РФ, ПП № 1119, ПП № 687)
  • Порядок введения в действие и пересмотра

2. Основные понятия

Глоссарий с определениями всех ключевых терминов: персональные данные, субъект, оператор, обработка, уничтожение, обезличивание и т.д. Важно, чтобы определения соответствовали действующей редакции 152-ФЗ.

3. Состав и категории персональных данных

Подробный перечень всех видов ПД, обрабатываемых в организации, с разбивкой по:

  • Категориям субъектов (работники, клиенты, контрагенты)
  • Категориям данных (общие, специальные, биометрические)
  • Информационным системам, где данные хранятся

4. Цели обработки персональных данных

Для каждой категории субъектов — перечень целей с указанием правового основания:

Работники:
— Оформление трудовых отношений (ТК РФ)
— Расчёт и выплата заработной платы (ТК РФ, НК РФ)
— Ведение воинского учёта (ФЗ «О воинской обязанности»)
— Передача данных в ФНС, СФР (законодательство о налогах и взносах)

Клиенты:
— Исполнение договора (ст. 6 ч. 1 п. 5 152-ФЗ)
— Направление информационных рассылок (ст. 6 ч. 1 п. 1 152-ФЗ, согласие)

5. Принципы обработки персональных данных

Перечисляются принципы из ст. 5 152-ФЗ: законность, справедливость, ограничение целей, минимизация, точность, ограничение хранения, безопасность.

6. Порядок получения персональных данных

Описываются все способы сбора:

  • При приёме на работу (перечень документов)
  • Через форму на сайте
  • По телефону
  • Из документов, представленных субъектом

Важно с 01.09.2025 (156-ФЗ): согласие на обработку персональных данных должно быть оформлено отдельно от иных документов, которые подписывает субъект. Согласие, встроенное в договор или анкету как пункт, с этой даты не соответствует закону. Соответствующий порядок должен быть закреплён в положении.

7. Порядок хранения персональных данных

  • Место хранения (физические папки в сейфе, электронные базы, CRM)
  • Носители: бумажные, электронные
  • Режим доступа: кто, каким образом, в каком объёме
  • Разграничение прав доступа

Требование с 01.07.2025 (23-ФЗ): запись, систематизация, накопление и хранение персональных данных граждан РФ с использованием баз данных за пределами России — запрещены (ч. 5 ст. 18 152-ФЗ). Облачные сервисы с зарубежными серверами (Google Sheets, Notion, иностранные CRM) нарушают это требование. Штраф — от 1 до 6 млн руб. (ч. 8 ст. 13.11 КоАП РФ). В положении должен быть прямо прописан запрет использования зарубежных БД для хранения данных граждан РФ.

8. Перечень должностей с доступом к персональным данным

Таблица: должность — категория данных — объём доступа (чтение/редактирование/удаление).

9. Порядок передачи персональных данных

  • Передача внутри организации (между отделами)
  • Передача третьим лицам с перечнем получателей
  • Трансграничная передача
  • Требования к соглашениям с обработчиками (ст. 6 ч. 3 152-ФЗ)

10. Сроки хранения и порядок уничтожения

Таблица с конкретными сроками для каждой категории документов:

Категория данных Срок хранения Основание
Личное дело работника 50 лет Приказ Росархива № 236
Трудовой договор 50 лет Приказ Росархива № 236
Согласия субъектов на обработку ПД До истечения цели + с учётом исковой давности Ст. 5 ч. 7 152-ФЗ
Данные о заказах 5 лет Налоговое законодательство

Примечание о сроке хранения согласий. Ст. 5 ч. 7 152-ФЗ устанавливает принцип: данные хранятся не дольше, чем этого требуют цели обработки. Конкретный срок в законе не закреплён — он определяется целью, а также периодом, в течение которого оператор может быть привлечён к ответственности (общий срок исковой давности — 3 года, ст. 196 ГК РФ). На практике принято хранить согласия в течение срока действия + 3 года после его истечения, либо до отзыва согласия субъектом.

Порядок уничтожения:

  • Бумажные документы: шредирование с составлением акта
  • Электронные данные: безвозвратное удаление с фиксацией в акте

Акт уничтожения должен содержать реквизиты, установленные Приказом РКН от 28.10.2022 № 179 (ст. 21 ч. 7 152-ФЗ): наименование/ФИО и адрес оператора; при обработке по поручению — данные обработчика; ФИО субъектов (или иные идентификаторы); ФИО и должность лиц, уничтоживших ПД, и их подписи; перечень категорий уничтоженных данных; наименование материального носителя с указанием числа листов (при бумажной обработке) или наименование ИСПДн (при автоматизированной); способ, причину и дату уничтожения. Акт хранится 3 года.

11. Меры по обеспечению безопасности

Организационные:

  • Режим доступа в помещения с документами
  • Инструктаж сотрудников
  • Проведение внутренних проверок

Технические:

  • Антивирусная защита
  • Межсетевые экраны
  • Шифрование при передаче (HTTPS, VPN)
  • Резервное копирование
  • Разграничение прав в информационных системах
  • Логирование действий с ПД

12. Права субъектов персональных данных

Описывается, как сотрудники компании должны реагировать на обращения субъектов:

  • Кто принимает запросы
  • По каким каналам
  • Сроки ответа (10 рабочих дней, ст. 20 152-ФЗ)
  • Форма ответа

13. Ответственность

Указывается ответственность:

  • Ответственного за организацию обработки ПД
  • Руководителей структурных подразделений
  • Рядовых сотрудников с доступом к ПД
  • Санкции за нарушения (дисциплинарные, административные, уголовные)

14. Порядок реагирования на инциденты

С 01.09.2022 (266-ФЗ) все операторы обязаны уведомлять Роскомнадзор о фактах неправомерной или случайной передачи персональных данных, повлёкшей нарушение прав субъектов (ст. 21 ч. 3.1 152-ФЗ, Приказ РКН № 187):

  • 24 часа с момента выявления инцидента — первичное уведомление: описание инцидента, предполагаемые причины, предварительная оценка вреда, принятые меры, контактное лицо
  • 72 часа — дополнительное уведомление: результаты внутреннего расследования, сведения о виновных лицах (при наличии)

Уведомление направляется через портал pd.rkn.gov.ru.

В положении должны быть указаны: кто является ответственным за направление уведомлений; порядок внутреннего расследования; как и в какой срок информируются субъекты данных.

За неуведомление РКН об инциденте — штраф 1–3 млн руб. (ч. 11 ст. 13.11 КоАП РФ).

Образец структуры положения

УТВЕРЖДЕНО
Приказом [Наименование организации]
№ ___ от «__» _______ 2026 г.
Генеральный директор _____________ /ФИО/

ПОЛОЖЕНИЕ
об обработке и защите персональных данных
[Наименование организации]

1. ОБЩИЕ ПОЛОЖЕНИЯ
   1.1. Цель и область применения
   1.2. Нормативная база (152-ФЗ, ТК РФ, ПП № 1119, ПП № 687)
   1.3. Порядок пересмотра

2. ОСНОВНЫЕ ПОНЯТИЯ И ОПРЕДЕЛЕНИЯ

3. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
   3.1. Персональные данные работников
   3.2. Персональные данные клиентов
   3.3. Специальные категории персональных данных

4. ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ

5. ПРИНЦИПЫ ОБРАБОТКИ (ст. 5 152-ФЗ)

6. ПОРЯДОК СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ
   6.1. Порядок получения согласия (требования 156-ФЗ с 01.09.2025)

7. ПОРЯДОК ХРАНЕНИЯ
   7.1. Хранение на бумажных носителях
   7.2. Хранение в электронном виде
   7.3. Разграничение прав доступа
   7.4. Требования к локализации (запрет зарубежных БД, 23-ФЗ с 01.07.2025)

8. ПЕРЕЧЕНЬ ДОЛЖНОСТЕЙ С ПРАВОМ ДОСТУПА

9. ПОРЯДОК ПЕРЕДАЧИ ТРЕТЬИМ ЛИЦАМ

10. СРОКИ ХРАНЕНИЯ И ПОРЯДОК УНИЧТОЖЕНИЯ
    10.1. Сроки хранения
    10.2. Процедура уничтожения
    10.3. Документирование уничтожения (акт по Приказу РКН № 179)

11. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
    11.1. Организационные меры
    11.2. Технические меры

12. ПРАВА СУБЪЕКТОВ И ПОРЯДОК РЕАГИРОВАНИЯ

13. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ ТРЕБОВАНИЙ

14. ПОРЯДОК РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ
    (уведомление РКН: 24ч + 72ч, Приказ РКН № 187)

Приложения:
— Перечень обрабатываемых персональных данных
— Перечень должностей с доступом к ПД
— Форма акта уничтожения ПД (реквизиты по Приказу РКН № 179)
— Форма журнала обращений субъектов

Когда пересматривать положение

Положение подлежит обязательному пересмотру при:

  • Изменении требований законодательства
  • Появлении новых категорий ПД или субъектов
  • Внедрении новых информационных систем
  • Изменении организационной структуры
  • Результатах внутреннего аудита, выявившего несоответствия

Рекомендуемая периодичность плановой актуализации — не реже одного раза в год.

Актуальные изменения, которые должны быть отражены в положении в 2025–2026 году:

  • 23-ФЗ (с 01.07.2025) — запрет хранения данных граждан РФ в зарубежных базах данных; штраф 1–6 млн руб.
  • 156-ФЗ (с 01.09.2025) — согласие на обработку ПД оформляется отдельным документом, а не пунктом в договоре или анкете
  • 420-ФЗ (с 30.05.2025) — новые размеры штрафов по ст. 13.11 КоАП РФ, включая оборотные санкции за повторные утечки

Частые ошибки при разработке положения

1. Не разграничены должности по доступу

«Доступ к ПД имеют все сотрудники» — нарушение принципа минимизации (ст. 5 ч. 1 п. 5 152-ФЗ: объём обрабатываемых ПД не должен быть избыточным) и требования ст. 88 ТК РФ. При проверке — основание для предписания и штрафа.

2. Нет процедуры уничтожения или акт не соответствует приказу РКН № 179

Написано «данные уничтожаются» — но не указано как, кем, с каким документированием. Либо используется произвольная форма акта, в которой отсутствуют обязательные реквизиты (адрес оператора, ФИО уничтожившего, наименование носителя или ИСПДн и др.). Акт уничтожения, не соответствующий Приказу РКН № 179, не является надлежащим подтверждением уничтожения ПД.

3. Сотрудники не ознакомлены под роспись

Документ создан, но листы ознакомления не собраны — при проверке доказать выполнение требования невозможно.

4. Данные хранятся в зарубежных сервисах

В документе написано про российские системы, а реально все данные — в Google Sheets, Notion или иной облачной системе с серверами за рубежом. С 01.07.2025 это прямое нарушение ч. 5 ст. 18 152-ФЗ (23-ФЗ) с штрафом 1–6 млн руб.

5. Нет раздела об инцидентах или не указаны сроки уведомления

С 01.09.2022 (266-ФЗ) уведомление Роскомнадзора об утечках обязательно. Без прописанной процедуры в положении сотрудники не знают, что делать при инциденте. Просрочка уведомления или его отсутствие — штраф 1–3 млн руб.

6. Согласия встроены в договоры (с 01.09.2025)

После вступления в силу 156-ФЗ согласие на обработку ПД, оформленное как пункт договора, трудового соглашения или анкеты, не соответствует закону. Необходим отдельный документ.

Сформировать положение автоматически

Разработка положения об обработке ПД вручную — это минимум 3–4 часа работы юриста и риск пропустить актуальные требования. ПдПро генерирует Положение об обработке персональных данных и ещё до 38 документов по 152-ФЗ за ~10 минут.

Как это работает:

  1. Вы отвечаете на ~30 вопросов о своём бизнесе (тип организации, виды данных, способы обработки, наличие сотрудников)
  2. Система определяет нужный набор документов и адаптирует их под ваш профиль
  3. Получаете готовые DOCX-файлы — загружайте, подписывайте, вводите в действие

Все шаблоны учитывают актуальные требования 2026 года: 23-ФЗ, 156-ФЗ, обновлённые штрафы по 420-ФЗ, Приказы РКН № 179 и № 187.

Сформировать пакет документов →

Тариф «Полгода» — 2 990 ₽, тариф «Навсегда» — 4 990 ₽ (все обновления включены). Для сравнения: консультация юриста по 152-ФЗ — от 5 000 ₽, а разработка пакета документов под ключ — от 30 000 ₽.

Нужны документы по 152-ФЗ?

Проверьте свой бизнес бесплатно — узнайте какие документы нужны

Мы используем cookie для работы сервиса и аналитики. Подробнее