Время работы: пн. - пт. 9.00 - 18.00
Политика обработки персональных данных: разработка и юридическое сопровождение
Входим в ведущие рейтинги и объединения страны:
Динамичная специализированная команда с уникальным опытом и признанием, которой доверяют клиенты по всей России
> 50 регионов
где находятся наши клиенты, мы работаем во всех одиннадцати часовых поясах с компаниями от Калининграда до Владивостока, используем современные средства связи и информационные системы, активно выезжаем в командировки
Динамичность
< 3 час.
средний срок ответа на запрос клиента по стандартной задаче. С нами Вы узнаете, что значит оперативность
Специализация
4
основных отраслевых и юридических специализации. Наш фокус - ИТ, E-com, цифровая медицина и интеллектуальная собственность
Команда
15 чел.
мы — действительно сплоченная команда энтузиастов, средний стаж работы в нашей компании — порядка пяти лет
Уникальность
> 90 %
законов в ИТ-сфере было принято после создания фирмы. Мы запускали телемедицинские сервисы до 2018 и токенизировали активы до 2020
Заслуживаем доверие
5 лет
подряд нашу фирму и специалистов отмечают рейтинги Право-300 и ИД Коммерсантъ в числе лучших юристов по нескольким направлениям
Признание
> 12
образовательных, научных и общественных объединений в деятельности которых мы участвуем, включая РАН, ТПП, МГЮА, Moscow Digital School
Опыт
9 лет
средний юридический стаж наших экспертов, мы молодая, но уже зрелая команда экспертов с прочной позицией на юридическом рынке
клиенты из Forbes, RAEX
> 10
крупнейших компаний доверяют нам свои проекты, в их числе компании группы Сбера, Яндекса, Технониколь, LG, 1С и Самолет
Сколько стоит подготовка политики обработки персональных данных?
Политика обработки ПДн: разработка, подготовка и защита под ключ
Юридическая сущность документа
Политика оператора в отношении обработки ПДн – это наиболее важный документ среди множества других, необходимых оператору для работы со сведениями о физических лицах
- Во-первых, это единственный локальный акт оператора, который прямо указан в российском законодательства, а именно в пп. 2 п.1 ст. 18.1 Федерального закона N 152-ФЗ от 27.07.2006
- Во-вторых, подавляющее большинство лиц, обрабатывающих конфиденциальную информацию, обязаны подготовить такой документ и обеспечить к нему доступ любым заинтересованным лицам (например, путем публикации на сайте)
- В-третьих, это основной документ оператора, в котором он отражает наиболее важные аспекты того, как именно он будет обрабатывать информацию о физических лицах. В политике в обязательном порядке должны быть указаны: цели и способы процессинга, категории обрабатываемых сведений, права субъектов и меры по защите сведений физических лиц
- В-четвертых, это тот документ, с которым оператор должен обеспечить возможность ознакомиться любым заинтересованным лицам
Кто обязан иметь политику по 152-ФЗ и когда необходима срочная разработка?
Если вы задаетесь вопросом, необходима ли вам политика обработки ПДн, то в подавляющем большинстве случаев ответ будет положительным. Казалось бы, согласно пп. 2 п.1 ст. 18.1 закона №152-ФЗ, все достаточно просто: такой инструмент обязаны иметь только операторы - юридические лица. Соответственно, индивидуальный предприниматель – владелец Интернет-сервиса, с помощью которого обрабатываются личные сведения, не обязан разрабатывать политику. К сожалению, на практике дело обстоит несколько сложнее: в п. 7 ст. 14 закона №152-ФЗ установлено одно из самых важных прав субъектов – на информирование о следующих обстоятельствах:
-
Подтверждение факта работы с ПД - Основания и цели процессинга
- Способы и методы процессинга
- Сведения об операторе и сотрудниках, допущенных к ПД
- Категории используемых сведений
- Способы, которыми субъект ПД может использовать свои права
- Наличие или отсутствие трансграничной передачи
- Способы, которыми оператор осуществляет возложенные на него обязанности
Конечно, такую информацию можно сообщать каждому субъекту лично, но такой подход с большой долей вероятности вызовет путаницу в работе оператора-индивидуального предпринимателя, не считая огромных временных затрат на такие ответы, а наличие политики позволит избежать таких проблем. Из этого можно сделать вывод: если вы ведете работу со сведениями о физических лицах, то такой локальный акт рекомендуется разработать, даже если вы являетесь индивидуальным предпринимателем, а не юридическим лицом
Кроме этого, если оператор планирует обрабатывать конфиденциальную информацию не только российских, но также иностранных граждан, например, жителей США, Европейского союза или КНР, политика обработки ПДн потребуется для соблюдения требований Общего регламента по защите данных (General Data Protection Regulation, GDPR), законов определенных штатов США, включая закон Калифорнии о защите персональных данных потребителей (California Consumer Privacy Act, CCPA), закона КНР о защите персональной информации (PIPL) и других законодательных актов иностранных государств, регулирующих использование сведений о физических лицах
Срочная разработка документации, определяющей процедуры процессинга личной информации может понадобиться:
При сборе и передаче личных сведений через сеть Интернет, например, при запуске Интернет-магазина или мобильного приложения
При постоянном использовании личной информации большого количества субъектов, превышающего обычную штатную численность вашей компании в несколько раз
Получение запроса от Роскомнадзора о предоставлении документации, регулирующей работы с личными сведениями
Отдельно стоит отметить, что в настоящий момент действует мораторий на проведение Роскомнадзором плановых проверок. Проводятся только внеплановые проверки, например, в случае получения жалоб от граждан на конкретного оператора, или несоответствия реальности сведений в ранее отправленном уведомлении об обработке ПДн. При этом, мораторий действует до конца 2025 года и вряд ли будет продлён, поэтому наилучшим решением будет осуществить разработку документации заранее, чем нести риск административной ответственности
Разработка политики ПДн под ключ
Аудит и анализ обработки данных в компании
В первую очередь для разработки политики, которая учтёт все особенности работы с личной информацией в вашей компании, требуется провести аудит процессов использования личной информации и последующий анализ таких процессов
Первый шаг такого аудита – это составление списка используемых информационных систем и методов процессинга внутри информационных систем.
Следующий шаг – это выявление процессов обмена информацией между работниками компании, с контрагентами и другими лицами, привлечёнными для процессинга личной информации.
После того, как все списки составлены, а процессы – выявлены, можно переходить к следующим этапам:
Наиболее часто встречающиеся риски:
Следующий шаг – это выявление процессов обмена информацией между работниками компании, с контрагентами и другими лицами, привлечёнными для процессинга личной информации.
После того, как все списки составлены, а процессы – выявлены, можно переходить к следующим этапам:
- Выявление категорий личной информации, используемой компанией
- Распределение категорий сведений по целям их процессинга
- Соотнесение информационных систем, способов и методов использования сведений с целями их обработки
Наиболее часто встречающиеся риски:
- Пренебрежение сбором согласий на работу с ПДн
- Использование личной информации, которая выходит за рамки цели процессинга. Например, использование изображения гражданина для направления рекламных сообщений
- Использование неучтённых категорий личной информации
Услуги по разработке политики ПДн «под ключ»
1
Комплексная подготовка документа юристом
Комплексная разработка такого локального акта требует досконального изучения в рамках аудита бизнес-процессов организации и уже принятых локальных актов компании, регулирующих дата-процессинг. Без изучения внутренних документов компании нельзя подготовить хорошую политику, которая будет учитывать все особенности работы с личной информацией. Кроме того, игнорирование локальных актов, может привести к тому, что политика и внутренние документы организации будут противоречить друг другу и вызывать спорные ситуации при работе со сведениями о физических лицах. Политика должна быть органично интегрирована с другими локальными актами компании, в особенности с такими документами, как:
- Положение о защите и обработке ПДн
- Уведомление Роскомнадзора о начале обработки ПДн
- Перечень обрабатываемых категорий ПДн
- Правила рассмотрения запросов субъектов ПДн
- Положение по уничтожению носителей ПДн
Структура: что должна содержать политика?
Для того, чтобы корректно описать структуру этого локального акта нужно обратиться к п. 7 ст. 14 и пп. 2 п. 1 ст. 18.1 закона №152-ФЗ. По результатам такого анализа и с учетом практики рекомендуется включать в документ следующие разделы:
1] Общие положения | Этот раздел является вступительным, в нем указываются цели принятия акта, перечень лиц, на которых она распространяется, Интернет-адрес публикации документа и другие вводные условия |
2] Термины и принятые сокращения | В разделе раскрываются термины и сокращения, используемые в тексте, для удобства работы с документом в дальнейшем |
3] Условия обработки ПДн | Раздел посвящен основным принципам процессинга и порядка получения личной информации |
4] Права и обязанности | В этом разделе подробно излагаются права и обязанности как оператора, так и субъекта |
5] Цели, способы обработки и категории ПДн | В указанном разделе описывается каждая цель процессинга вместе с перечнем категорий личной информации и способами обработки для каждой цели |
6] Технические данные (Cookie, метрические программы и данные рекомендательных технологий). | Этот раздел кратко описывает процессинг технической информации, которая может не являться сведениями о физическом лице, но тесно связана с ними, особенно с учетом позиции Роскомнадзора об отнесении Cookies к ПДн (Письмо РКН от 26 июня 2024 г. № 08-242780) |
7] Передача ПДн | В этом разделе описывается цели, порядок передачи и получатели личной информации, а также отражается факт трансграничной передачи сведений (если применимо) |
8] Актуализация, исправление, удаление, уничтожение ПДн, ответы на запросы субъектов на доступ к персональным данным | Этот раздел посвящен порядку работы со сведениями о физических лицах в рамках отдельных процессов, а также порядку взаимодействия с субъектами при получении от них запросов или требований |
9] Меры, принимаемые оператором для защиты ПДн | В разделе отражаются общие принципы и методы (технические, организационные или юридические), которые организация или ИП применяет для защиты личной информации |
10] Ответственность оператора | В указанном разделе описываются меры ответственности за допущенные нарушения, а также порядок привлечения к ней лиц, допущенных компанией к работе с личной информацией |
11] Заключительные положения | В заключительном разделе излагается процедура изменения и утверждения новых редакций акта |
Что лучше выбрать: сухой язык закона или слова, понятные обывателю?
Казалось бы, политика – это документ, который в большей степени предназначен для физических лиц, а не для принявшей его организации, поэтому ее стоит оформлять так, чтобы она была понятной любому (то есть использовать «инфостиль»). Тем не менее, такой подход не всегда можно считать верным. При использовании в тексте формулировок законодательства, регулирующего работу с ПД или, наоборот, использовании наиболее доступных и понятных формулировок фраз, организация сталкивается с рисками. В первом случае её не поймут обыватели, которым адресован документ, а во втором Роскомнадзор может посчитать, что не соблюдены законодательные требования и организация должна быть привлечена к административной ответственности. Как следствие, оператору нужно применять сбалансированный подход, чтобы устранить оба таких риска – в этом может помочь юрист-эксперт в сфере персональных данных
2
Учёт специфики бизнеса (мобильные приложения, Интернет-магазин, HR-системы, цифровые платформы) и согласование со службой компьютерной безопасности
Политика должна быть направлена на реальные механизмы работы с личными сведениями и учитывать специфику бизнеса. Так, например:
- Если компания применяет полностью электронный документооборот, то ведется исключительно автоматизированный процессинг ПД, о чем следует упомянуть в тексте
- Если компания осуществляет работу с конфиденциальной информацией по поручению третьих лиц
- Если компания использует Cookie-файлы, метрические программы или рекомендательные технологии
- Если используются биометрические ПД или специальные категории персональных данных (в том числе, о состоянии здоровья)
- Если компании осуществляет трансграничную передачу ПД (даже на территорию «дружественных» государств, включая Республику Беларусь)
- Если компания осуществляет распространение персданных неопределённому кругу лиц
Можно привести следующий минимальный набор мер по защите:
✓ Определение необходимого уровня защищенности информации на основе специфики категорий данных, количества субъектов и потенциальных угроз
✓ Издание локальных актов по использованию паролей, антивирусной защите, перечне действий в нештатных ситуациях и правилах доступа к конфиденциальной информации
✓ Назначение ответственного за обработку ПД
✓ Издание локальных актов по использованию паролей, антивирусной защите, перечне действий в нештатных ситуациях и правилах доступа к конфиденциальной информации
✓ Назначение ответственного за обработку ПД
✓ Инструктаж работников по вопросам работы со сведениями личного характера
✓ Использование сертифицированных антивирусов и другого программного обеспечения, защищающего от взлома информационных систем
✓ Внутренний контроль за процессингом
✓ Использование сертифицированных антивирусов и другого программного обеспечения, защищающего от взлома информационных систем
✓ Внутренний контроль за процессингом
3
Обоснование правомерности обработки
Далее мы рассмотрим процесс разработки согласия на обработку ПД. Документ должен содержать в себе правильные формулировки, учитывать возможность оформления в электронной форме, содержать отсылки к политике и описывать каналы получения сведений
Одно из самых важных условий – это обоснование использования личной информации. Неважно, насколько правильно в организации будет составлен локальный акт, если нарушен порядок сбора разрешений на работу с ПД и нет других оснований для использования личных сведений. Разберёмся, какие разрешения необходимо собирать оператору, как именно это делать и что должны содержать такие документы
Существуют следующие виды согласий, которые касаются персданных:
- Согласие на обработку ПД
- Согласие на обработку ПД, разрешенных субъектом для распространения
- Согласие на применение Cookie или метрических программ, или рекомендательных технологий
- Согласие на получение рекламных и информационных рассылок
В каких случаях необходимо собирать согласия:
Обычное согласие необходимо собирать всегда, за исключением случаев, предусмотренных Законом №152-ФЗ. Исключения:
- Исполнение закона (например, работа со сведениями для соблюдения налогового законодательства)
- Использование в ходе судебного разбирательства
- Исполнение полномочий государственных органов
- Исполнение договора, стороной которого является субъект ПД, или же который заключен в пользу такого субъекта
- Защита жизни и здоровья человека, когда получить разрешение невозможно
- Мероприятия по возврату кредитов и займов
- Профессиональная деятельность журналиста
- Статистические и иные исследования
- Работа с общедоступными персональными данными
«Обычное» согласие должно содержать следующую информацию:
- Порядок предоставления
- Сведения об операторе
- Перечень категорий персданных с распределением по целям процессинга и способы такого процессинга
- Срок использования ПД и порядок отзыва
- Перечень ПД, разрешенных субъектом для распространения
- Установленные субъектом запреты и условия распространения
- Порядок предоставления разрешения
- Наименования применяемых технологий
- Порядок предоставления согласия
- Реквизиты компании, осуществляющей рассылку
- Способы рассылки
- Перечень персданных, используемой для рассылок, и согласие на их процессинг
При сборе согласие в бумажной форме важно удостовериться, что оно содержит ФИО и паспортные данные субъекта, а также его подпись. Сбор согласий в электронном виде происходит путём осуществления субъектом конклюдентных действий (то есть действий, порождающих юридические последствия в силу самого факта их совершения). Среди таких действий можно выделить:
- Проставление «галочки» в специальном чекбоксе
- Нажатие кнопки с определенным названием
- Переход по индивидуальной ссылке
4
Сроки хранения и порядок уничтожения ПД
Согласие на обработку ПД не дает организации получает права на бесконечный процессинг сведений о физических лицах. Сроки, в течение которых будет осуществляться работа с персданными, должны быть разумным и соответствовать целям процессинга. И по истечении таких сроков процессинг должен быть прекращён, а все сведения – уничтожены
Удалить персданные потребуется и в некоторых других случаях:
- Прекращение компанией деятельности, для которой осуществлялся процессинг ПД
- Ликвидация организации
- Установление факта неправомерной обработки личной информации
- Отзыв согласия. При этом, в установленных законодательством случаях компания не только может, но и обязана продолжить использование ПД (например, в случаях отзыва согласия уволенным работником, в соответствии с Приказом Росархива от 20.12.2019 №236)
-
Сроки уничтожения личной информации не должны превышать установленные законом - Личная информация должна уничтожаться без возможности восстановления
- По факту уничтожения составляется акт об уничтожении ПД
- О факте уничтожения ПД уведомляется субъект
5
Актуализация и пересмотр политики
Рассмотрим ситуации, когда требуется обновление документа, кто отвечает за его актуальность, а также правила согласования и внесения изменений.
Законодательство о ПД постоянно изменяется и, как правило, в сторону ужесточения. Как следствие, ответственный сотрудник организации должен проводить проверку на необходимость актуализации локальных актов не реже одного раза в год
Законодательство о ПД постоянно изменяется и, как правило, в сторону ужесточения. Как следствие, ответственный сотрудник организации должен проводить проверку на необходимость актуализации локальных актов не реже одного раза в год
Кроме этого, актуализацию политики рекомендуется проводить в следующих случаях:
Кроме того, если ответственный за работу с персданными не обладает специальными знаниями в области юриспруденции, то лучше обратиться в специализированную юридическую фирму: это позволит избежать ошибок и недочётов при актуализации политики
- Появление новой цели процессинга
- Использование Cookie, метрических программ и/или рекомендательных технологий
- Начало процессинга персданных иностранных граждан
- Существенные изменения законодательства
Кроме того, если ответственный за работу с персданными не обладает специальными знаниями в области юриспруденции, то лучше обратиться в специализированную юридическую фирму: это позволит избежать ошибок и недочётов при актуализации политики
Почему выбирают нас для подготовки политики обработки ПДн
- Полное сопровождение — от анализа процессов до готового документа
- Конфиденциальность гарантирована: мы заключаем NDA
- Опыт работы с IT-компаниями, интернет-магазинами и офлайн-бизнесом
- Учитываем требования Роскомнадзора и международных стандартов (GDPR)
- Готовим документы под конкретную сферу бизнеса
- Минимизируем риски проверок и штрафов
- Более 90% клиентов выбирают дистанционный формат работы
- Обеспечиваем корректность формулировок и юридическую силу документа
- Помогаем встроить политику в систему внутреннего комплаенса
- Проверяем совместимость с уже действующими локальными актами компании
старший юрист и руководитель блока регистрации товарных знаков и промышленных образцов
Специалист, проверивший статью:
Опубликовано:
10.09.2025
10.09.2025
Cookie, метрические программы, рекомендательные технологии
Обоснование обработки
Долгое время Cookie считались не персональными, а просто техническими данными о действиях посетителей сайтов, которые собирались с помощью Интернет-браузеров или мобильных приложений. С развитием технологий на файлы Cookie стали обращать всё большее и большее внимание. Первоначально организации в Европейском союзе и США, использующие Cookie, обязали уведомлять всех пользователей сайтов о применении такой технологии. А впоследствии такая практика в том или ином виде распространилась в большинстве стран, регулирующих использование персданных, включая Россию
В России Cookie были признаны персональными данными благодаря практике арбитражных судов. Технология Cookie является составной частью метрических программ, а те, в свою очередь – частью рекомендательных технологий, порядок использования которых урегулирован в ст. 10.2-2 Федерального закона от 27.07.2006 № 149-ФЗ. Давайте разберёмся, что такое Cookie, метрические программы и рекомендательные технологии
Cookie – это набор сведений, включая уникальный анонимный идентификатор, который присваивается вашему браузеру или телефону при первом посещении сайта или мобильного телефона. Сайты и мобильные приложения загружают файлы Cookie только в случаях, когда в настройках конфиденциальности предоставлены соответствующие разрешения. С помощью Cookie хранится информация о ваших предпочтениях и действиях на сайтах и в мобильных приложениях, например, о просмотре определённой страницы и времени просмотра
Чаще всего выделяют следующие виды Cookie
- -!-Функциональные Cookie предназначены для корректной работы сайтов и мобильных приложений, в случае их отключения сайт или мобильное приложение перестают правильно функционировать
- -!-Аналитические Cookie-файлы нужны для того, чтобы понять, как именно посетитель сайта или пользователь мобильного приложения взаимодействует с теми или иными разделами и функциями, а также позволяет определять посетителей, повторно посетивших сайт или повторно использующих мобильное приложение
- -!-Рекламные Cookie их функционал направлен на отслеживание интересов пользователей сети Интернет. Рекламные Cookie собирают информацию о посещении сайтов и страниц, а также сведения о ссылках и рекламе, которые пользователи интернета выбирали для просмотра в целях предоставления рекламной или другой информации в более точном соответствии с их интересами
Метрические программы – это Интернет-сервисы, которые осуществляют оценку посещаемости сайтов, мобильных приложений и их отдельных разделов и анализируют поведение посетителей. Главная цель применения метрических программ – это понимание интересов пользователей для улучшения функционирования сайтов и мобильных приложений. В основе метрических программ лежат Cookie и другие схожие технологии. Примеры таких программ – это Яндекс Метрика, ВК пиксель и Google Analytics
Рекомендательные технологии – это технологии, позволяющие предоставлять пользователям сайта или мобильного приложения персонализированную информацию на основе анализа их интересов. В основе рекомендательных технологий лежат метрические программы и файлы Cookie
Исходя из вышеизложенного можно прийти к выводу, что Cookie-файлы, сведения, собираемые посредством метрических программ, и информация, используемая рекомендательными технологиями, являются персданными и могут подпадать под законодательство о персональных данных и информационных технологиях
Как организация должна регулировать применение Cookie, метрических программ, рекомендательных технологий
Специфика Cookie, метрических программ, рекомендательных технологий обязывает оператора не только посвятить им раздел в политике, но также подготовить отдельный локальный акт: правила их применения
В политике компания излагает основные принципы использования Cookie, метрических программ и рекомендательных технологий, а в правилах применения должна отразить следующее:
- Описание методов сбора сведений об интересах пользователей
- Порядок систематизации и анализа сведений об интересах пользователей
- Используемые информационные алгоритмы
- Перечень обрабатываемых сведений об интересах пользователей
Обеспечить информирование пользователей о применении Cookie, метрических программ и рекомендательных технологий. Для этого достаточно, сделать на сайте или в мобильном приложении всплывающее уведомление об их применении
Собирать от пользователей согласие на использование Cookie, метрических программ и рекомендательных технологий
Опубликовать на сайте или в мобильном приложении правила применения Cookie, метрических программ и рекомендательных технологий
На сайте или в мобильном приложении должна быть опубликована контактная информация или форма обратной связи для получения запросов от пользователей по вопросу Cookie, метрических программ и рекомендательных технологий
Если компания выполнит все вышеизложенные требования, то от Роскомнадзора к ней не будет никаких претензий
Поддержка компаний при внедрении 152-ФЗ
Юристы нашей компании имеют широкий и длительный опыт работы с персональными данными и могут выполнить задачи любой сложности: от устной консультации до проведения юридического аудита процесса работы с ПД с подготовкой всего комплекса необходимой документации. Среди услуг экспертов по работе с персданными:
Консультации для физических и юридических лиц по всем вопросам использования личной информации
Подготовка жалобы на неправомерный процессинг или, наоборот, защита компании от злоупотреблений со стороны субъектов ПД или Роскомнадзора
Полный или частичный аудит системы процессинга. Так, юристы могут провести как аудит сайта или мобильного приложения, так и комплексный анализ всех процессов компании по работе с личными сведениями
Подготовка и подача уведомления о начале обработки ПД или внесение в него изменений в случае необходимости в кратчайшие сроки
Разработка внутренних регламентов и положений по обработке ПД
Политика не является единственным обязательным документом, регулирующим процессинг ПД – оператору требуется подготовка и другой документации, объем которой зависит от масштаба деятельности оператора
Комплект докумнетации может быть реализован в двух вариантах:
Вариант № 1
Разработка только обязательных документов
Разработка только обязательных документов
Вариант № 2
Разработка полного комплекта документов
Разработка полного комплекта документов
Нашим юристам доверяют компании
Мы выступаем экспертами в СМИ
